安全运营中心 (SOC) 团队对其安全工具感到失望

Vectra AI 表示,安全运营中心 (SOC) 从业人员认为,由于太多孤立的工具和缺乏准确的攻击信号,他们在检测和确定真实威胁的优先级方面正在失败。

人们对供应商的不信任感日益加深,认为供应商的工具在发现真正的攻击方面起的阻碍作用大于帮助作用。

这与他们对团队能力的信心日益增强以及对人工智能前景的乐观态度相矛盾。

GenAI 工具为攻击者创造了新的机会

随着组织越来越多地转向GenAI驱动的工具来简化流程并增强工作能力,混合攻击形势不断扩大。

这为攻击者创造了更多机会,也给已经深陷安全警报噪音和误报困扰的安全团队带来了挑战。

尽管SOC 团队对他们的防御能力比一年前更加有信心,但许多人仍然认为他们没有合适的工具来帮助他们有效地检测和确定真正的威胁的优先顺序。

安全从业人员对自己的能力越来越有信心,但在检测和优先处理真正的威胁方面,他们感觉自己正在落后。那么,脱节的原因是什么?

许多 SOC 团队管理着太多工具,但仍在努力应对大量警报,导致人们担心错过关键威胁。

这导致从业人员对当前使用的威胁检测工具缺乏信心和信任,并导致从业人员寻求替代解决方案,例如扩展检测和响应 (XDR) 解决方案。

71% 的 SOC 从业者担心他们会错过埋在海量警报中的真正攻击,51% 的人认为他们无法跟上日益增多的安全威胁。

47% 的人不相信他们的工具能够按照他们需要的方式工作,而 54% 的人表示他们使用的工具实际上增加了 SOC 的工作量而不是减少。

73% 的团队拥有超过 10 种工具,45% 的团队拥有超过 20 种工具。

62% 的团队最近采用或正在探索扩展检测和响应 (XDR) 解决方案。

SOC 团队在安全工具方面遇到困难

SOC 团队对当前的安全工具越来越失望,这些工具带来的挑战比他们解决的问题还多。

许多从业者发现自己不得不将关键任务放在一边,以管理他们收到的大量警报,这不仅导致他们对工具不满,也导致对提供这些工具的供应商不满。

从业者还在努力提高警报的准确性,由于时间限制和工具支持不足,大量警报得不到处理。

虽然在混合环境中的可见性等领域有改善的迹象,但警报数量过多仍然是一个重大问题。

60% 的 SOC 从业者表示,供应商销售的威胁检测工具会产生太多噪音和警报,而 71% 的人表示,供应商需要对未能阻止违规行为承担更多责任。

81% 的人每天花费超过 2 个小时挖掘/分类安全事件。

50% 的人表示,在发现真正的攻击时,他们的安全工具弊大于利,并指出实际上,他们只能处理收到的 38% 的警报,而他们会将其中 16% 归类为“真正的攻击”。

60% 的受访者表示,他们购买很多安全工具都是为了“满足合规要求”。

人工智能在威胁检测中的应用和信任度正在不断提高

随着对人工智能能力的信任度不断提高,SOC 越来越多地采用人工智能来改进威胁检测和响应。

虽然许多从业者对人工智能在传递威胁信号以准确识别和应对威胁、减少工作量和取代传统工具方面的潜力持乐观态度,但仍有人担心这会给已经不堪重负的系统增加复杂性。

尽管面临挑战,但人们仍强烈希望加大对人工智能解决方案的投资,以提高效率和效力。

然而,要使人工智能真正获得广泛认可,供应商必须努力通过提供可增加真正价值的工具来重建信任,而不会增加 SOC 团队的负担。

85% 的 SOC 从业者表示,他们对 AI 的投资和使用水平在去年有所提高,67% 的人指出 AI 对他们识别和应对威胁的能力产生了积极影响。

75% 的 SOC 从业者表示,AI 在过去 12 个月中减少了他们的工作量,73% 的人表示 AI 在过去 12 个月中减少了倦怠感。

89% 的人计划在未来一年使用更多 AI 驱动的工具来取代传统的威胁检测和响应。

看到安全从业人员的信心不断增强;然而,很明显他们对当前的威胁检测工具越来越失望,这些工具由于缺乏集成攻击信号,往往会增加工作量而不是简化流程。

数据表明,用于威胁检测和响应的工具以及销售这些工具的供应商并没有履行他们的承诺。

团队相信人工智能发出的攻击信号将帮助他们识别和确定威胁的优先级,加快响应时间,并减少警报疲劳,然而,信任需要重建。

事实证明,人工智能产品具有积极影响,但要真正重建信任,供应商需要展示他们如何增加价值,而不仅仅是他们销售的技术。

上一篇:分层解耦-04.IOC&DI-IOC详解


下一篇:Moshi:类似chatgpt advanced voice mode的端到端语音问答技术-2. 关键架构