原作者：克里斯·米南

網(wǎng)絡(luò)安全在過去十年中取得了很大進(jìn)步。改進(jìn)的標(biāo)準(zhǔn)（例如 MITRE）、威脅情報(bào)、流程和技術(shù)極大地幫助提高了可見性、自動(dòng)化信息收集 (SOAR) 和許多手動(dòng)任務(wù)。此外，新的分析 (UEBA/SIEM) 和端點(diǎn) (EDR) 技術(shù)可以檢測(cè)并經(jīng)常阻止整類威脅?，F(xiàn)在，我們看到了攻擊面管理 ( ASM )等技術(shù)的出現(xiàn)，這些技術(shù)開始幫助組織變得更加主動(dòng)并集中精力以獲得最大影響。

然而，向云的遷移和攻擊面的相關(guān)擴(kuò)展現(xiàn)在大大增加了環(huán)境的復(fù)雜性。2022 年IBM Security X-Force 云威脅態(tài)勢(shì)報(bào)告發(fā)現(xiàn)，混合云環(huán)境的持續(xù)擴(kuò)展對(duì)安全團(tuán)隊(duì)來說是一項(xiàng)重大挑戰(zhàn)。X-Force 觀察到新的云漏洞與前一年相比增加了 28%。此外，在云環(huán)境中運(yùn)行的易受攻擊的面向公眾的應(yīng)用程序已成為攻擊者的常見目標(biāo)，組織可能難以對(duì)環(huán)境中運(yùn)行的所有應(yīng)用程序進(jìn)行編目以確保所有應(yīng)用程序都已打好補(bǔ)丁。

這反過來會(huì)導(dǎo)致三件事發(fā)生：

更多數(shù)據(jù)：需要收集更多安全遙測(cè)數(shù)據(jù)以提供必要的可見性。由于大多數(shù)此類數(shù)據(jù)是在云平臺(tái)中生成的，因此增加了成本和復(fù)雜性，尤其是在云之間轉(zhuǎn)移數(shù)據(jù)并非免費(fèi)的情況下。

更多工具：部署和使用更多安全工具來為新的云基礎(chǔ)設(shè)施（例如，CWPP、ITDR、CDR 等）提供保護(hù)、可見性和響應(yīng)。在許多情況下，出于權(quán)宜之計(jì)（“嘿，這適用于技術(shù) X”）或出于財(cái)務(wù)原因（“嘿，這對(duì)云 Y 是免費(fèi)的”），安全團(tuán)隊(duì)確實(shí)從 DevSecOps 或 CIO 那里獲得了新的安全工具。

更多的用戶體驗(yàn)復(fù)雜性和更多的警報(bào)：更多的工具、更多的數(shù)據(jù)、更多的移動(dòng)部件導(dǎo)致安全團(tuán)隊(duì)在領(lǐng)先于攻擊者方面面臨更大的阻力。他們面臨著額外的集成和配置工作，以及成為專家的新用戶體驗(yàn)，因?yàn)樗麄儚囊粋€(gè)轉(zhuǎn)向另一個(gè)以追捕威脅。根據(jù)2023 年 IBM 全球安全運(yùn)營中心研究，接受調(diào)查的 SOC 專業(yè)人員表示，他們?cè)诘湫偷墓ぷ魅諆?nèi)只審查了 49% 的警報(bào)，其中近三分之二是低優(yōu)先級(jí)或誤報(bào)。此外，81% 的受訪者表示，人工調(diào)查拖慢了他們的速度——這是威脅響應(yīng)時(shí)間最常見的拖累。

最后，成本越來越成為決策的一個(gè)因素。所有組織都在尋找通過利用現(xiàn)有投資和利用“包含”的功能以及提高團(tuán)隊(duì)生產(chǎn)力來控制成本的方法。不幸的是，呈指數(shù)級(jí)增長的數(shù)據(jù)量、額外的安全工具以及具有復(fù)雜且昂貴的許可模型的傳統(tǒng)工具正在帶來巨大的阻力。

毫不奇怪，63% 的組織尋求提高其安全運(yùn)營中心的檢測(cè)和響應(yīng)能力。

混合云現(xiàn)代化 SOC 所需的 DNA

為了應(yīng)對(duì)這些挑戰(zhàn)，我們需要重新思考一些推動(dòng)我們做出今天的決定的優(yōu)先事項(xiàng)。

首先，我們需要針對(duì)分析師體驗(yàn)進(jìn)行設(shè)計(jì)。從歷史上看，我們的行業(yè)一直非常受工具驅(qū)動(dòng)，這在當(dāng)時(shí)是重中之重。但現(xiàn)在我們需要關(guān)注我們的團(tuán)隊(duì)、他們的生產(chǎn)力和工作滿意度。我們需要降低他們必須處理的 UX 復(fù)雜性（多樣性、語言、詞匯）。

其次，我們需要利用內(nèi)置的人工智能、自動(dòng)化和專業(yè)知識(shí)來擴(kuò)大我們今天安全團(tuán)隊(duì)中的專家和英雄。你知道那些——他們只是讓一切正常，他們可以在所有復(fù)雜的基礎(chǔ)設(shè)施中追蹤威脅。當(dāng)需要緊急行動(dòng)和答案時(shí)，他們是您所依賴的。自動(dòng)化和人工智能是實(shí)現(xiàn)這一目標(biāo)所需的核心。支持 AI 的技術(shù)可以為分析師完成繁重的工作，支持從威脅調(diào)查到建議的補(bǔ)救措施的一切工作。根據(jù)IBM 商業(yè)價(jià)值研究院的數(shù)據(jù)，采用 AI 可以顯著減少網(wǎng)絡(luò)安全事件的檢測(cè)天數(shù)和調(diào)查時(shí)間，分別減少多達(dá) 50% 和 29% 。

最后，我們需要啟用開放系統(tǒng)和社區(qū)協(xié)作。云世界的現(xiàn)實(shí)是，安全性將跨多個(gè)系統(tǒng)聯(lián)合起來。組織需要選擇他們將利用哪些安全系統(tǒng)，而這種方式不會(huì)增加復(fù)雜性或給他們的團(tuán)隊(duì)帶來專有生態(tài)系統(tǒng)和內(nèi)容的負(fù)擔(dān)。促進(jìn)協(xié)作集成和威脅檢測(cè)內(nèi)容的開放標(biāo)準(zhǔn)越來越成為絕對(duì)必要的。根據(jù) SANS Institute 的數(shù)據(jù)，66% 的受訪安全團(tuán)隊(duì)表示他們正在優(yōu)先考慮集成以幫助改善他們的安全運(yùn)營。

宣布推出 IBM Security QRadar Suite

15 年來，QRadar 一直是市場(chǎng)領(lǐng)先的 SIEM，在NDR、UEBA、AI（Watson for Cyber ）的分析方面進(jìn)行了大量創(chuàng)新。現(xiàn)在，新的IBM Security QRadar Suite已經(jīng)擴(kuò)展到還包括EDR /XDR 和SOAR，以及新的云原生日志分析功能 (Log Insights)，以實(shí)現(xiàn)經(jīng)濟(jì)高效的收集、分析、可視化和超快速搜索云規(guī)模和輕松的數(shù)據(jù)。將這些功能統(tǒng)一到一個(gè)單一的模塊化平臺(tái)上，實(shí)現(xiàn)逐步采用，為用戶提供一個(gè)完整的 TDIR 系統(tǒng)。隨著每個(gè)解決方案的采用，它會(huì)在幾乎沒有增量培訓(xùn)或集成的情況下為分析師體驗(yàn)增加功能、上下文、洞察力和自動(dòng)化。除了支持安全團(tuán)隊(duì)所需的所有核心功能外，新的 QRadar Suite還專門圍繞我們之前討論的保護(hù)混合云的現(xiàn)代化 SOC所需的 DNA 需求而設(shè)計(jì)：

開放系統(tǒng)和社區(qū)協(xié)作

新的 QRadar Suite 不僅建立在一個(gè)開放的混合云平臺(tái) (OpenShift) 上，該平臺(tái)支持云原生的彈性、彈性架構(gòu)以及選擇在何處和如何（例如，許可軟件或 SaaS），而且還在整個(gè)過程中利用開放標(biāo)準(zhǔn)。

例如，QRadar Suite 中的所有產(chǎn)品都支持關(guān)聯(lián)來自第三方的安全發(fā)現(xiàn)以及聯(lián)合搜索，使組織能夠利用他們今天擁有的工具并選擇他們將來使用的工具，所有這些都無需移動(dòng)他們的數(shù)據(jù). 該套件還在威脅檢測(cè)、調(diào)查和響應(yīng)中原生利用 MITRE 和 SIGMA——使安全團(tuán)隊(duì)能夠以社區(qū)的速度無縫移動(dòng)，以跟上攻擊者的步伐。

內(nèi)置人工智能、自動(dòng)化和專業(yè)知識(shí)

該套件嵌入了人工智能和自動(dòng)化創(chuàng)新，這些創(chuàng)新已被證明可以在第一年將警報(bào)和優(yōu)先級(jí)排序速度平均提高 55%，響應(yīng)時(shí)間平均提高8 倍，調(diào)查速度提高 60 倍。此外，該套件還包括來自 X-Force 團(tuán)隊(duì)的不斷更新的威脅檢測(cè)和響應(yīng)內(nèi)容，以及從與全球數(shù)千家客戶合作中收集的見解。

該套件還包括一個(gè)新的創(chuàng)新自動(dòng)化調(diào)查功能，該功能將跨多個(gè)系統(tǒng)自動(dòng)調(diào)查警報(bào)（利用聯(lián)合搜索、威脅情報(bào)和 SIGMA），無論它來自何處，并將調(diào)查結(jié)果以及建議的響應(yīng)行動(dòng)匯總到一個(gè)單一的、易于使用的時(shí)間表，供分析師快速審查和執(zhí)行。

專為分析師體驗(yàn)而設(shè)計(jì)

QRadar Suite 圍繞統(tǒng)一的分析師體驗(yàn)構(gòu)建，可在整個(gè) EDR/XDR、SIEM、SOAR 和安全日志管理 (SLM) 的調(diào)查、響應(yīng)和威脅搜尋工作流程中協(xié)助安全分析師。這種新的統(tǒng)一體驗(yàn)不僅適用于 IBM QRadar Suite，還適用于 40 多種第三方技術(shù)，因?yàn)樗陂_放標(biāo)準(zhǔn)和聯(lián)合搜索。該體驗(yàn)是與我們的安全團(tuán)隊(duì)和專家一起設(shè)計(jì)的，并融入了他們的專業(yè)知識(shí)和見解，為他們帶來“什么？”、“誰？”、“哪里？”、“何時(shí)？”以及重要的“我應(yīng)該做什么”接下來做什么？他們需要一個(gè)簡單易用的工作流程。

QRadar Suite 專為滿足當(dāng)今和未來的安全運(yùn)營和混合云環(huán)境的需求而構(gòu)建，可幫助 SOC 分析師更快地做出更好的決策，同時(shí)增強(qiáng)他們的威脅檢測(cè)和響應(yīng)能力。面對(duì)不確定性和復(fù)雜性，希望對(duì)其 SOC 進(jìn)行現(xiàn)代化改造的組織會(huì)感到更加自信和受到支持。

編譯自：IBM securityintelligence