网络安全一直都在变化,这种变化持续、快速且具动态性。如果没有这种持续变化,就不可能保持有效的防御态势。过去有效的安全措施放到今天会变得不再有效,而今天的安全控制措施放到明天也会变得不再有效。
这种快速的变化是由于多个因素造成的。攻击不断增多,而且每天都在变得越来越高级、持久和隐秘,一些攻击者甚至利用人工智能(ai)来推动其攻击活动。混合多云部署、物联网(iot)及移动设备和服务等趋势使攻击面变得越来越大、越来越复杂。传统的防御措施已经快速过时,网络安全的竞争环境也已变成猫捉老鼠的游戏。
毫不奇怪,企业需要非常努力才能避免防御滞后。而这种滞后常常会带来可怕的后果:因遭遇大型数据泄露事件而登上头条新闻、高管职务受到威胁、品牌和声誉受损、收入损失等等。如今,企业似乎必须采取“疯狂猛冲”措施,才能保持足够且有效的安全防御。
当今组织所面临的主要安全挑战
组织在保持安全控制、方面,面临着许多障碍。
缺乏网络安全人才和工作疲劳
广泛的网络安全技能短缺正在加剧着分析人员的工作疲劳。手动完成繁琐而费时的威胁调查流程可能需要数小时、数天、数周,甚至数月的时间。
一旦安全运营中心(soc)分析人员将大部分时间都花费在调查上面,而且调查数量超出分析人员每年的处理能力,便会导致风险补救方面出现延迟,进而增加组织的安全风险敞口。由于每天都会收到大量警报,因此安全分析人员会超负荷工作且感到不知所措,进而导致士气低落、人员流失率高。
未解决的安全风险
一般的安全分析人员每天都会收到大量警报,在很多情况下,这些警报的数量都会超出他们每天的处理能力。当分析人员超负荷工作且无法筛选所有警报时,他们往往会将更多时间花费在优先级较低的问题上。这意味着可能无法解决重大的潜在安全威胁,进而增加了无法检测到网络攻击的风险。
驻留时间长
驻留时间是指攻击者可以按其自己的意愿访问环境的时间长度。驻留时间越长意味着威胁实施者会在您的环境中花费更多的时间访问机密和专有数据、窃取资金或访问敏感信息,而且他们在环境中花费的时间越多,损害程度就越大。
检测所需平均时间(mttd)和修复所需平均时间(mttr)是驻留时间的两个组成部分。mttd是组织发现安全事件所花费的时间,而mttr则是组织遏制、补救和消除环境中的威胁所花费的时间。高级管理人员越来越需要对这两个关键绩效指标负责。
安全团队可以通过采用现代soc技术(即ai)来克服这些挑战及其他挑战。
集成网络安全ai可为企业提供哪些帮助
克服上述挑战是一项艰巨的任务,但您可以通过为安全分析人员提供人工智能来缓解这些挑战。当soc分析人员与网络安全ai合作时,他们便会从许多方面受益。
改善威胁检测和调查
手动调查安全事件非常耗时,并且会导致威胁分析不一致。分析人员会花费大量的时间来收集与网络、数据和应用活动,以及用户和身份、漏洞、来自端点的威胁等相关的信息。接下来,他们会尝试关联这些信息,以建立导致事件发生的本地环境。毋庸置疑,从许多不同的系统中提取信息是一项繁琐且耗时的任务,而且容易出现错误和不一致。
ai可为调查工作流提供结构化的威胁识别、情境信息收集、数据扩充、关系建立和优先级排序,大大减少了分析人员在调查流程早期花费在威胁研究上的时间。这包括ai仅需耗费相当于人工处理时很少一部分的时间便可自动完成的任务,例如:
●识别潜在威胁
●获取本地环境
●执行威胁研究
●运用收集的情报确定突发事件,将警报分为高优先级或低优先级
如果手动完成这些任务,则可能需要数小时、数天甚至数周的时间,而ai只需数分钟即可。
扩充研究和情报收集
安全分析人员还必须花费大量时间进行威胁研究,并从大量的内外部资源中收集情报,然后才能上报以请求进入修复流程。这可能需要数小时到数月不等的时间,而且在执行迫切需要的研究,进一步了解和确定潜在威胁的过程中,潜在的网络威胁会继续在他们的环境中肆虐。
许多ai凯发k8官网下载的解决方案都可以将安全警报映射到mitre att&ck框架中的策略和技术,以此方式来扩充安全警报。这些更深入的洞察力有助于分析人员了解威胁实施者正在使用的特定策略和技术,以及att&ck生命周期的相应阶段。借助这些洞察力,分析人员可以预测下一步的工作,并确定领先潜在对手的最有效方法。
提高分析人员的工作效率和士气
人工智能可以提高分析人员的工作效率,并简化威胁检测和调查流程,帮助他们节省大量时间。ai负责分析人员的“杂事”,同时接管威胁调查过程中最耗时且最繁琐的部分来帮助他们更智能地工作,例如威胁情报映射、本地数据收集、业务情境信息与潜在安全警报之间的关联,以及对高价值目标资产的评估等等。
如此一来可以节省大量时间,让安全分析人员可以将精力集中在更具战略性的问题、更高级别的警报和主动威胁捕获上,进而更好地防御网络攻击。利用ai自动执行重复的soc任务,能够让分析人员专注于调查中更重要的元素,同时提高分析人员的工作效率以及调查流程的效率和成效。
降低安全泄露事件成本
人工智能还有助于改善组织的总体安全态势,进而降低与安全泄露事件相关的成本。减少驻留时间意味着可以在更短的时间内识别并解决攻击,从而最大程度地减少安全泄露事件的影响。ponemon institute发布的显示,“...识别和遏制数据泄露的速度越快,成本就越低。平均来说,在2020年的研究中,生命周期超过200天的泄露的平均成本比不到200天的泄露平均要高出112万美元(200天以上为433万美元,不到200天为321万美元)。”
该报告总结说,部署了具有ai、机器学习、分析和自动化事件响应功能的自动化安全凯发k8官网下载的解决方案的企业“可以大幅降低数据泄露的成本”。
通过人工智能实现soc增值
总而言之,,可以实现诸多优势,包括简化威胁检测、调查和响应流程,提高生产率,改善工作满意度等等-分析人员可以将更多的时间花费在他们最喜欢的事情上,同时降低安全泄露事件的成本。人工智能可以帮助分析人员更加有效地执行工作,进而实现安全团队的增值。。
作者简介
lolita chandra
lolita chandra是ibm security的高级产品营销经理,负责qradar advisor with watson产品。她是一位经验丰富的凯发k8官网下载的解决方案和产品营销专家,在消息传递与定位的构建、进入市场战略的制定、资产创建,以及帮助销售人员成功销售产品/凯发k8官网下载的解决方案等方面拥有丰富的经验。