最新報告 | 解讀安全自動(dòng)化的現狀

時(shí)間:2022-07-14 08:58:02 發(fā)布人:myadmin 來(lái)源:派拓網(wǎng)絡(luò ) 點(diǎn)擊量:
近期,Palo Alto Networks(派拓網(wǎng)絡(luò ))對數百位安全專(zhuān)業(yè)人士進(jìn)行了一項關(guān)于安全自動(dòng)化現狀的調查。結果顯示,安全運營(yíng)群體在應對事件響應方面存在著(zhù)很事件響應團隊規模較小、多數威脅管理仍舊手動(dòng)進(jìn)行、網(wǎng)絡(luò )釣魚(yú)、惡意軟件等威脅攻擊事件頻發(fā)等種種問(wèn)題與挑戰,因此也承受著(zhù)巨大的壓力。本次調查就是讓各方安全運營(yíng)人員能夠對于現在的安全自動(dòng)現狀進(jìn)行充分了解,以幫助企業(yè)能夠采用安全創(chuàng )新手段向更高級別的安全自動(dòng)化發(fā)展。

調查概覽

調查的受訪(fǎng)者由一個(gè)多元化的群體組成。在分享見(jiàn)解的 266 人中,有 25% 的人擔任安全工程師,有 18% 的人擔任網(wǎng)絡(luò )安全運營(yíng)人員,有 15% 的人擔任副總裁/首席信息安全官或首席信息官。受訪(fǎng)者群體還代表了不同的企業(yè)規模和行業(yè)。22% 的企業(yè)擁有超過(guò) 20,000 名員工。21% 的企業(yè)員工人數在 2,500 到 4,999 人之間,19% 的企業(yè)員工人數在 5,000 到 9,999 人之間。

調查結果

事件響應主要在內部執行
近一半 (49%) 的受訪(fǎng)者表示企業(yè)在內部處理事件響應。只有 1% 的企業(yè)會(huì )將其完全外包。在大多數情況下,公司會(huì )選擇自己處理安全事件。一個(gè)有趣的發(fā)現是,對于不同規模的企業(yè),內部處理和外包的事件響應比例一致。按企業(yè)規模劃分的內部處理與外包事件響應的百分比顯示每個(gè)企業(yè)規模分組的結果都與整體結果幾乎相同。
 
受訪(fǎng)者的事件響應形式


按企業(yè)規模劃分的事件響應形式
 

事件響應團隊的規模往往較小
事件響應團隊的規模比人們想象的要小,超過(guò) 50% 的受訪(fǎng)者表示他們的團隊人數少于 5 人,12% 的團隊人數在 11 到 25 人之間,只有 8% 的團隊人數超過(guò) 25 人。


安全團隊中致力于事件響應的人數

即使是大公司也會(huì )雇傭小型事件響應團隊。在員工人數介于 1,000 到 2,499 之間的企業(yè)中,有 35% 的企業(yè)配備了 1 到 3 人的團隊,這不足為奇。令人震驚的是,在員工人數超過(guò) 10,000 的企業(yè)中,有15% 的企業(yè)配備的團隊也是 1 到 3 人。


按企業(yè)規模劃分的安全團隊實(shí)踐響應人數

事件響應團隊必須廣泛開(kāi)展合作
事件響應是一項多團隊合作任務(wù)。調查顯示,事件響應團隊在處理安全事件時(shí)必須在整個(gè)企業(yè)內開(kāi)展廣泛協(xié)作。在他們不得不與之互動(dòng)的一些團隊里,有一部分缺乏安全性。受訪(fǎng)者需要與許多其他群體保持聯(lián)系并與他們協(xié)調活動(dòng),這進(jìn)一步表明小型事件響應團隊的壓力巨大。


安全團隊與其他團隊合作解決事件比例
以及具體團隊分析
 

威脅管理工作 50% 是手動(dòng)進(jìn)行的
一半的受訪(fǎng)者采用手動(dòng)方式管理威脅情報源。另一半受訪(fǎng)者則使用各種各樣的威脅情報源管理工具, 對于如此關(guān)鍵的工作流程來(lái)說(shuō),50% 是一個(gè)很高的數字,尤其是考慮到當今一些威脅的嚴重程度。對于小型團隊而言,存在因進(jìn)行威脅管理而導致安全人員超負荷工作的風(fēng)險。同時(shí),公司也面臨著(zhù)錯誤處理安全警報的風(fēng)險。


管理威脅情報饋送的分析


對于威脅情報饋送的訂閱

網(wǎng)絡(luò )釣魚(yú)、惡意軟件和端點(diǎn)是數量最多的事件

當被問(wèn)及他們的團隊必須處理的三種數量最多的事件類(lèi)型時(shí),74% 的受訪(fǎng)者表示是網(wǎng)絡(luò )釣魚(yú)警報。56% 的受訪(fǎng)者選擇了惡意軟件警報,53% 的受訪(fǎng)者選擇了端點(diǎn)安全警報。


安全團隊必須處理的事件類(lèi)型分析

事件普遍性與響應時(shí)間
事件類(lèi)型的普遍性并不一定會(huì )轉化為事件響應團隊的過(guò)度負擔。例如,對于網(wǎng)絡(luò )釣魚(yú)警報,考慮處理大量可在 30-60 分鐘內得到解決的網(wǎng)絡(luò )釣魚(yú)事件,同時(shí)關(guān)注少量需要幾天才能解決的 VPN 警報或漏洞發(fā)現會(huì )有多分散注意力。這將是一個(gè)在不同事件響應工作流之間不斷切換的過(guò)程,對于本研究中的小型事件響應團隊來(lái)說(shuō)根本不理想。而且,雖然 30-60 分鐘的問(wèn)題解決時(shí)間似乎已經(jīng)很快了,但如果一個(gè)團隊始終在處理大量此類(lèi)事件,可能會(huì )不堪重負。且這還只是以一種安全事件為例,可以想象體量偏小的安全團隊更容易因事件響應而徹底透支。

事件響應自動(dòng)化正在進(jìn)行中
自動(dòng)化的速度似乎滯后于事件加載速度。例如,28% 的受訪(fǎng)者已自動(dòng)化網(wǎng)絡(luò )安全運營(yíng),但 40% 的受訪(fǎng)者將其列為數量最多的前 3 大事件類(lèi)型。74% 的受訪(fǎng)者將網(wǎng)絡(luò )釣魚(yú)警報列為數量最多的前 3 個(gè)事件之一,但只有 37% 的受訪(fǎng)者已自動(dòng)化網(wǎng)絡(luò )釣魚(yú)事件響應流程。



解決安全事件問(wèn)題所需時(shí)間

本研究的受訪(fǎng)者有許多安全自動(dòng)化方面的計劃將在不久的未來(lái)實(shí)施。當被問(wèn)及他們計劃在未來(lái) 18 個(gè)月內自動(dòng)化哪些安全運營(yíng)時(shí),22% 的受訪(fǎng)者表示“漏洞響應,例如勒索軟件”;19% 的受訪(fǎng)者表示“云安全與配置”;18% 的受訪(fǎng)者表示“網(wǎng)絡(luò )策略管理”。16% 的受訪(fǎng)者表示,他們將在未來(lái) 18 個(gè)月內實(shí)現網(wǎng)絡(luò )安全運營(yíng)、訪(fǎng)問(wèn)調查、網(wǎng)絡(luò )釣魚(yú)響應和威脅情報自動(dòng)化。
在當今的 IT 安全模式中,需要使用大量工具/解決方案才能提供全面的防御和深度的覆蓋。從所有平臺提取并規范化日志/警報/事件很難使它們保持一致并對分析產(chǎn)生實(shí)際作用。能夠提供通用格式和清潔集成的解決方案提供商將是成功的關(guān)鍵。如果能夠一站式集成所有日志,那么就可以開(kāi)始討論自動(dòng)化的推進(jìn)了。新技術(shù)的吸引力在于協(xié)助自動(dòng)標記特定事件/警報,為分析師團隊節省時(shí)間,以便他們將精力僅放在調查最有可能發(fā)生的事件上。


讓企業(yè)更傾向于部署自動(dòng)化的功能


事件響應團隊的規模往往較小
“不確定從何處入手”是未部署安全自動(dòng)化的首要原因,50% 的受訪(fǎng)者表示這是他們最大的障礙。21% 的受訪(fǎng)者認為,缺乏預算和必要的技能是實(shí)現自動(dòng)化的阻礙因素。因此,五分之四的受訪(fǎng)者顯然不存在缺少實(shí)現自動(dòng)化所需的資金或訓練有素的人員的情況。14% 的受訪(fǎng)者表示管理層不了解這種需求。29% 的受訪(fǎng)者表示他們“使用目前的流程可達到很好的管理效果”。


沒(méi)有在安全運營(yíng)中部署自動(dòng)化的原因

調查結果

企業(yè)可能還希望尋找機會(huì )獲得能夠降低自動(dòng)化復雜程度的解決方案,例如提供預構事件響應劇本的工具。我們具備實(shí)現更高水平自動(dòng)化的可能性,這很可能成為保障業(yè)務(wù)運營(yíng)安全的不可協(xié)商要求。挑戰則在于接受變更并努力使其成為現實(shí)。

友情鏈接

總部/北區

地址:北京市海淀區高梁橋斜街42號院1號樓融匯國際大廈-3A層信亦宏達
電話(huà):400-650-6601(9:00-18:00)
服務(wù)熱線(xiàn):13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com

售前咨詢(xún)熱線(xiàn) 400-650-6601

關(guān)注信亦宏達

微信

微博

2012-2020 版權所有?信亦宏達網(wǎng)絡(luò )存儲技術(shù)(北京)有限公司 京ICP備09114115號-1

京公網(wǎng)安備 11010802032893號