根据Micro Focus最新发布的企业调查,全球SOC安全运营团队最重视的安全能力是高级威胁检测,并且希望更多使用基于人工智能和机器学习技术的下一代自动化安全运营工具来构筑主动防御体系。
比较流行的11个安全运营工具
报告显示,超过93%的受访者使用人工智能和机器学习技术,主要目标是提高高级威胁检测能力;超过92%的受访者希望在未来12个月内使用或购买某种形式的自动化工具。
调查结果表明,随着SOC的不断成熟,企业安全运营团队将以前所未有的速度部署下一代安全工具和功能,以弥补安全能力上的差距。
如今企业SOC面临的风险和运营挑战正在不断累积:更多的数据、更复杂的攻击和更大的攻击面和资产暴露面需要监控。然而,如果实施得当,人工智能技术,例如无人监督的机器学习,正在推动企业实施下一代安全运营。
调查显示:“越来越多的企业发现人工智能和机器学习技术非常有效,能够增强高级威胁检测和响应能力,从而加快提升SecOps团队的安全能力。”
报告发现,SecOps团队使用大量自动化水平不断提高的工具来帮助保护关键数据资产,上面图表列出的比较流行的11种安全运营工具,预计在2021年的采用率都将超过80%。
企业更加依赖MITRE ATT&CK框架
随着威胁数量的上升,报告发现90%的企业都依赖MITRE ATT&CK框架作为了解攻击技术的工具,而依赖对手战术知识库的最常见原因是需要提高检测高级威胁的能力。
此外,保护当今企业数字资产所需的安全技术已经叠床架屋,极为复杂,这意味着SOC团队更加依赖自动化工具来有效地开展工作。
而根据根据迈克菲和加州大学伯克利分校长期网络安全中心的联合报告《MITRE ATT&CK作为云安全威胁调查的》,大多数企业对自身入侵检测能力都缺乏信心,而MITRE ATT&CK能够帮助企业快速找到安全可见性,工具和流程方面的差距。
因此,MITRE ATT&CK已经在企业中得到了广泛采用(并且越来越多的安全运营工具也与该框架整合):
- 87%的受访企业认为实施MITER ATT&CK可以提高云安全性;
- 81%已经使用了该框架;
- 63%将MITRE ATT&CK框架同时用于企业和云的安全矩阵;
- 57%使用MITRE ATT&CK框架来比对已部署安全解决方案的差距;
- 55%使用MITRE ATT&CK框架来支持安全策略实施;
- 54%利用MITRE ATT&CK框架来支持威胁建模。
自动化的驱动力:新的威胁、挑战与安全上云
新冠大流行期间,全球企业面临许多新的威胁。其中比较大的是网络攻击和安全事件数量增加(全球同比增长45%),其次是员工使用非托管设备(全球增长40%)导致的风险增加。
大约三分之一的受访者认为企业安全运营团队(SOC)面临的最严峻的两个挑战是:
- 安全事件优先级分类;
- 在不断增长的攻击面上监控安全性。
安全运营上云:超过96%的企业将云计算用于IT安全运营,平均而言,近三分之二的IT安全运营软件和服务已经部署在云中。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】