分析師疲勞:最好永不休息 他們可能不這麼說,但你的資安分析師已經筋疲力盡了。 每天,越來越多的設備連接到他們的企業網路,為操作系統漏洞和網路釣魚攻擊創造了不斷增長的途徑。與此同時,威脅的數量 - 其中一些足以阻止整個城市的威脅 - 正在以更快的速度上升。 雖然大多數公司都有一支能幹的初級分析師,但今天的大部分EDR(終點檢測和響應)系統都讓他們陷入困境。典型EDR軟體的驚人復雜性使得成功運行需要多年的經驗 - 這意味著無論更多“綠色”分析師如何願意提供幫助,他們還沒有必要的技能來有效地分類威脅。 更糟糕的是,雖然這些“解決方案”需要您的優秀表現者,但他們並不總能提供最佳表現。雖然你最有經驗的分析師應該解決主要的威脅,但很多時候他們都會陷入一連串的誤報 - 這些問題既不是威脅,也不值得調查。雖然他們與之相關,但他們還必需面對假陰性的情況:威脅從漏洞中溜走,可能避免被發現,而那些最適合解決它們的人正在忙著試圖通過噪音。這個問題變得非常糟糕,以至於一些IT部門正在他們的EDR軟體包之上部署MDR系統 - 增加了公司端點保護的複雜性並進一步增加了員工的壓力水平。 希望能夠衡量“分析師疲勞”對SOC的真正影響並確定可能的解決方案,Forrester Consulting代表McAfee於2019年3月進行了委託研究,以了解當前EDR對企業的影響,並嘗試識別解決方案的潛力。Forrester對安全技術決策者進行了調查,這些決策者面臨著面臨威脅的管理人員,以及在宏觀層面上與其公司的財務需求和風險承受能力相關的觀察安全解決方案的管理人員。受訪者來自美國,英國,德國或法國,並在各種行業中工作,規模從1,000到50,000多名員工。 當被問及他們的端點安全目標時,受訪者的前三個答案 - 提高安全檢測能力(87%),提高SOC效率(76%)和縮小SecOps團隊的技能差距(72%) - 所有指向許多當前EDR的局限性。進一步的調查顯示,雖然43%的安全決策者認為自動檢測是關鍵要求,但只有30%的人認為他們當前的解決方案完全滿足他們在這一領域的需求。 雖然發現的問題是無數的,但結果還表明,單一解決方案可以改善各種這些問題。引入包含引導式調查的EDR計劃可以通過允許初級分析師協助識別威脅來提高效率,從而釋放更多經驗豐富的分析師來解決檢測到的威脅,並只關注最複雜的問題,從而提高檢測能力。同時,初級分析師將解決實際EDR威脅的實踐經驗將提高他們的個人效率和技能水平,有助於消除某些部門存在的技能差距。 要了解當前EDR領域中存在的問題和可能性的更多信息,請單擊此處閱讀完整的“Empower Security Analysts through Guided EDR Investigation”研究。 資料來源:https://securingtomorrow.mcafee.com/business/analyst-fatigue-the-best-never-rest/ |
