当价值200万美元的安全检测失效时:您的安全运营中心能否拯救全局?

本文探讨了企业在安全检测工具上投入巨资,却因安全运营中心(SOC)资源不足而面临的风险。文章通过案例说明平衡投资的重要性,分析了检测工具与SOC团队的协同作用,并介绍了AI SOC平台如何帮助精简团队实现高效、可扩展的威胁响应。

当价值200万美元的安全检测失效时:您的安全运营中心能否拯救全局?

如今,企业通常被期望至少拥有6到8种检测工具,因为检测被视为一项标准投资,也是第一道防线。然而,安全负责人很难向他们的上级证明,为警报生命周期的后续环节投入更多资源是合理的。

结果就是,大多数组织的安全投资是不对称的:强大的检测工具搭配着一个资源不足的安全运营中心,而后者恰恰是最后一道防线。

最近的一个案例研究表明,那些拥有标准化安全运营中心的企业如何阻止了一次能够绕过主流邮件安全工具的复杂钓鱼攻击。在该案例中,一场跨公司的钓鱼活动针对了多家企业的高管层。这些组织所使用的八种不同的邮件安全工具均未能检测到此次攻击,钓鱼邮件成功进入了高管们的收件箱。然而,每家组织的安全运营中心团队在员工报告可疑邮件后,都立即检测到了这次攻击。

为什么所有八种检测工具都同样失败了,而安全运营中心却成功了?

所有这些组织的共同点是,它们在警报生命周期的各个阶段进行了平衡的投资,没有忽视其安全运营中心。

本文探讨了对于已经为检测工具分配了大量资源的组织而言,投资安全运营中心为何是不可或缺的。此外,平衡的安全运营中心投资对于最大化现有检测工具投资的价值也至关重要。

检测工具与安全运营中心运行在平行宇宙中

理解这种根本性的脱节,有助于解释安全漏洞是如何产生的:

检测工具在毫秒级内运行。它们每天必须对数百万个信号做出即时决策。它们没有时间处理细微差别;速度至关重要。没有这种速度,网络就会陷入停滞,因为每封电子邮件、每个文件和每个连接请求都会被拦截下来进行分析。

检测工具聚焦于微观。它们是最先识别和隔离潜在威胁的,但缺乏对大局的理解。与此同时,安全运营中心团队则以30,000英尺的宏观视角运作。当警报到达分析师手中时,他们拥有检测工具所缺乏的东西:时间和上下文。

因此,安全运营中心从不同的角度处理警报:

  • 他们可以分析行为模式,例如为什么一位通常从伦敦工作的执行人员会突然从一个数据中心IP地址登录。
  • 他们可以跨工具整合数据。他们可以查看一个信誉良好的电子邮件域,以及随后的认证尝试和用户报告。
  • 他们可以识别只有在综合观察时才有意义的模式,例如专门针对财务高管的目标设定,以及与此类攻击周期相符的时间点。

资金不足的安全运营中心带来的三大关键风险

首先,它会让高层领导更难识别问题的根源。部署了各种检测工具的组织中,首席信息安全官和预算负责人通常认为他们的投资能保障安全。与此同时,安全运营中心的感受却截然不同,他们被大量的告警噪音淹没,且缺乏资源来妥善调查真正的威胁。由于检测方面的支出显而易见,而安全运营中心的困境却发生在幕后,安全负责人发现很难证明需要为其安全运营中心追加投资。

其次,这种不对称性压垮了最后一道防线。对多种检测工具的大量投资每天会产生数千个警报,淹没了安全运营中心。在资金不足的情况下,分析师们就像是同时面对数百次射门的守门员,被迫在巨大压力下做出瞬间决策。

第三,它削弱了识别细微威胁的能力。当安全运营中心被警报淹没时,进行详细调查工作的能力就会丧失。那些逃脱检测的威胁,恰恰是检测工具从一开始就永远无法发现的。

从临时解决方案到可持续的安全运营中心运营

当检测工具每天产生数百个警报时,再增加几个安全运营中心分析师,其效果就像试图用桶去拯救一艘正在沉没的船只。传统的替代方案是外包给托管安全服务提供商或托管检测与响应服务商,指派外部团队来处理过剩的警报。

但对许多人来说,权衡仍然太大:持续的高昂成本、分析师调查流于表面且不熟悉您的环境、协调延迟以及沟通不畅。外包并不能解决失衡问题,它只是将负担转移到了别人的盘子里。

如今,对于寻求高效、经济、可扩展解决方案的精简型安全运营中心团队来说,AI安全运营平台正成为首选。AI安全运营平台在需要进行上下文推理的调查层面运作,自动对警报进行分类,并在为其分配上下文后仅呈报高可信度的事件。

在AI安全运营平台的帮助下,分析师每月可节省数百小时,因为误报率通常下降超过90%。这种自动化覆盖能力使得小型内部团队能够提供7x24全天候覆盖,而无需增加人员或外包。本案例研究中提及的公司通过投资Radiant Security(一个智能体式AI安全运营平台)采用了这种方法。

安全运营中心投资当下及未来带来回报的两种方式

安全运营中心的投资使得检测工具的成本物有所值。您的检测工具的有效性,完全取决于您调查其警报的能力。当40%的警报未被调查时,您就没有获得所拥有的每一款检测工具的全部价值。没有足够的安全运营中心处理能力,您就是在为您无法充分利用的检测能力付费。

最后一道防线的独特视角将变得越来越关键。随着检测工具失效的情况越来越频繁,安全运营中心将变得日益重要。随着攻击日益复杂,检测将需要更多上下文。安全运营中心的视角意味着只有他们能够将这些点连接起来,看清全局。

指导您制定下一个安全预算的三个问题

  1. 您的安全投资是否对称?首先评估您的资源分配是否存在失衡。不对称安全的首要迹象是,警报数量超过了您的安全运营中心的处理能力。如果您的分析师被警报淹没,这意味着您的前线超出了后线的能力。
  2. 您的安全运营中心是否是一个合格的安全网?每位安全运营中心领导者都必须问:如果检测失效,安全运营中心准备好接住漏网之鱼了吗?许多组织从不问这个问题,因为他们不认为检测是安全运营中心的责任。但当检测工具失效时,责任就会转移。
  3. 您是否未能充分利用现有工具?许多组织发现,他们的检测工具产生了有价值的信号,但没人有时间去调查。不对称意味着缺乏对已有资源采取行动的能力。

来自Radiant Security的关键启示

大多数安全团队都有机会通过资源配置,最大化当前检测投资的回报,支持未来增长并增强防护。那些投资于检测工具却忽视其安全运营中心的组织,正在制造盲点并导致员工倦怠。

案例研究中重点介绍的智能体式AI安全运营平台Radiant Security,通过平衡的安全投资展示了成功。Radiant在安全运营中心的调查层面工作,自动处理每一个警报,将误报率降低约90%,并以顶级分析师般的速度分析威胁。凭借与现有安全工具的100多种集成和一键响应功能,Radiant帮助精简的安全团队能够调查任何警报(无论已知或未知),而无需增加不可能的人员编制。Radiant security使各种规模的组织都能获得企业级的安全运营中心能力。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次