【IT168 评论】随着组织发展其安全程序,其安全环境的复杂性也在增长。复杂性和变化要求采用一种全新的方式来应对现代安全运营中心(SOC)。根据Gartner的数据现实,到2022年,50%的SOC将转变为具有集体事件响应、威胁情报和主动搜寻威胁能力的现代运营中心,而2015年这一比例还不到10%。
安全和风险领导者正在寻找合作伙伴来帮助他们建立内部能力或将其全部外包出去。因此,安全服务(MSS)的整体市场正处于一个快速的发展阶段,从传统的监控和管理发展到更先进的、由人工智能(AI)领导(但以人为驱动)的安全服务。更不用说,公司正在进行全组织范围的数字转型,这需要一种全新的方法来实现跨混合多云平台的安全。
如何实现安全托管服务的现代化?
传统上,安全托管服务提供商(MSSP)专注于最大容量的日志监视和警报,缺乏调查和外围防御。传统的安全服务提供商在调查过程中提供的信息有限,无法透明化,并定义哪些进行了升级,哪些没有升级,它们已经变成了一个黑匣子。随着攻击载体的发展和数据量及准确性的提高,MSSP正处于安全的关键时刻,这是一个不断发展或与客户无关的问题。
接下来让我们更深入地探讨MSSP应该推动安全托管现代化的三个方面:
1、管理检测和响应(MDR)
对传统安全托管服务提供者来说,最重要的变化之一涉及到托管检测和响应功能。Gartner表示,到2024年,超过25%的组织将使用托管检测和响应(MDR)服务,40%的中型企业将使用MDR作为唯一的安全托管服务。客户对更主动的响应和补救的需求是主要的驱动因素。
对于传统的安全托管服务,重点放在日志管理、威胁情报、合规性和设备管理上。另一方面,MDR侧重于一种主动的方法来检测和管理安全事件,从而限制安全事件的影响。
MDR结合了人类专业知识和分析、人工智能和机器学习(ML)之间的平衡方法,以加速检测和响应。改善这两个关键领域意味着攻击者将在环境中花费更少的时间并尽可能减少损害。此外,MDR背后的人力资源专业知识使组织能够主动捕捉威胁并识别攻击者用于攻击组织的工具和技术。
2. 人工智能驱动的安全管理
人工智能和机器学习是下一代MSSP增长的关键领域。根据Forrester的数据显示,64%的企业安全决策者担心使用人工智能的网络罪犯。此外,54%的企业通过雇佣或外包人工智能专家来实现或扩展人工智能能力。
安全和风险领导者必须熟悉人工智能技术和安全研究的构建模块。第一个原因是,威胁行动者正在积极利用AI和ML来瞄准组织,并发现了大量的可识别个人信息数据集(PII)。其次,如果没有通过AI和ML进行实时安全分析和管理,组织就无法在应对不断增加的警报量时获得安全状态的上下文,有意义的见解。
物联网(IoT)和运营(OT)等技术也为安全生态系统增加了更多的设备和数据。这反映了一种新的威胁,许多首席信息安全官以前从未处理过这种威胁。随着数据量和准确性的增加,安全托管提供者需要人工智能来提升它们的检测、响应和修复的能力。
AI和ML允许第三方安全提供商筛选噪音并有效地为客户减少误报。AI驱动的安全管理可帮助分析人员快速分析大型数据集并关联数据,从而使分析师能够在快速升级之前发现潜在威胁和异常行为。
AI和ML也有助于加快响应速度,将完成一项调查所需的时间从几天或几个月缩短到几小时甚至几分钟。基于AI和ML的检测和响应可以利用先前的攻击数据和洞见,帮助识别新威胁中的类似特征。
3. 将合规性和风险转化为可行的见解
组织不仅面临安全环境的复杂性,而且还面临着合规性和监管要求。管理风险的最大障碍包括成本增加、难以找到合适的技术,以及缺乏恰当管理风险和合规职能的专业知识和人员。
安全和风险领导者经常告诉我们,他们发现很难对组织风险进行量化和报告。他们要么没有正确的风险背景,要么不确定如何处理新法规。
现代MSSP需要在与客户的每次互动中,将有意义的合规性和风险管理放在首位。为此,现代MSSP应该从事件、关联数据、漏洞和威胁情报中综合遥测,以帮助客户评估、检测新风险和现有风险并确定其优先级。服务提供者需要作为合作伙伴了解业务,以帮助客户了解相关的业务信息。
安全规则本应被打破
当今的现代安全形势要求对安全规则采取一种全新的方法。安全托管提供商应该不断地寻求领先于对其客户构成的威胁和风险。
新出现的威胁、风险和新技术可能会带来不确定性。一个全球性的、现代化的安全合作伙伴可以帮助您的组织管理企业安全功能,并解放您的安全人员,专注于整体计划监督。