好看的课外书,小说排行榜完结版

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

告別孤立的安全告警！立刻升級SIEM的五大理由

安全信息事件管理(SIEM)系統(tǒng)的應(yīng)用已經(jīng)超過20年，在很多企業(yè)組織，它都是安全管理人員日常處理威脅事件的優(yōu)先選項(xiàng)。但是，在過去的五年中，網(wǎng)絡(luò)攻擊變得越來越隱秘、手段越來越復(fù)雜、影響越來越大，因此，基于傳統(tǒng)特征碼的檢測技術(shù)也需要不斷向機(jī)器學(xué)習(xí)技術(shù)演進(jìn)，并從單一的威脅檢測轉(zhuǎn)變?yōu)闄z測加響應(yīng)的聯(lián)合解決方案。

成都創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)黔西南州,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

在此背景下，傳統(tǒng)SIEM系統(tǒng)由于存在難以實(shí)現(xiàn)精準(zhǔn)告警、漏報較為嚴(yán)重等問題，已不是企業(yè)安全運(yùn)營管理的理想選擇，但這并不意味著需要淘汰它。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠(yuǎn)不會過時，因?yàn)楸镜匕踩罩臼冀K是最具價值的威脅情報來源。但安全團(tuán)隊(duì)需要盡快升級優(yōu)化SIEM，配合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進(jìn)安全能力，以實(shí)現(xiàn)更加高效、準(zhǔn)確的發(fā)現(xiàn)、檢測和響應(yīng)安全威脅。

安全專家總結(jié)整理了目前SIEM系統(tǒng)的5大應(yīng)用挑戰(zhàn)與解決方法，以幫助企業(yè)更好地開展安全運(yùn)營感知工作。

挑戰(zhàn)一：原始數(shù)據(jù)量多，噪音太大

解決方案：數(shù)據(jù)自動化處理，消除“誤報”

從理論上講，更多的數(shù)據(jù)應(yīng)該可以提供更好的洞察力，但這也容易淹沒有價值的信號。問題不在于我們沒有足夠的數(shù)據(jù)，而在于我們有太多的非重要報警和誤報數(shù)據(jù)!

當(dāng)今，SIEM技術(shù)已跟不上安全團(tuán)隊(duì)收集和生成的海量數(shù)據(jù)。它不僅會錯過大量的安全威脅，而且還會產(chǎn)生較多誤報。重要報警與非重要報警或者誤報同時大量出現(xiàn)時，會導(dǎo)致重要報警數(shù)據(jù)淹沒在海量的誤報及非重要報警中，無法立即響應(yīng)真實(shí)報警。

想象一下，當(dāng)安全分析師查看200個警報，卻發(fā)現(xiàn)只有4、5個警報是重要報警，那會有多崩潰!“檢測”和“響應(yīng)”之間，最重要的環(huán)節(jié)就是分類和處理報警數(shù)據(jù)。人工智能可以比任何分析師更快地處理數(shù)據(jù)——并且可以7X24小時全天候工作?？梢詫?5分鐘的檢測過程縮短到幾秒鐘，并生成一份完整的事件分析報告，以便企業(yè)的團(tuán)隊(duì)可以在人工響應(yīng)時查看。

挑戰(zhàn)二：過時的、基于規(guī)則的識別技術(shù)

解決方案：智能化自動檢測技術(shù)

SIEM落后的另一個原因是因?yàn)樗鼈兪腔谔卣鞔a規(guī)則檢測。盡管業(yè)界對它已經(jīng)進(jìn)行了改進(jìn)和升級，但還是無法跟上大數(shù)據(jù)問題。

試圖使用簡單的、基于規(guī)則的技術(shù)來有效地進(jìn)行威脅檢測肯定會失敗。當(dāng)然，如果系統(tǒng)識別出它之前遇到的威脅，并且完全相同的威脅以同樣的方式“殺回”，你確實(shí)會收到警報。但是，現(xiàn)實(shí)世界的大多數(shù)威脅并非如此。許多團(tuán)隊(duì)甚至發(fā)現(xiàn)，與SIEM相比，經(jīng)驗(yàn)豐富的安全分析師或技術(shù)工程師能夠檢測到更多的未知威脅。

在過去幾年里，先進(jìn)的機(jī)器學(xué)習(xí)已經(jīng)成為一種可替代方案，但是SIEM在人工智能技術(shù)應(yīng)用上目前尚處于起步階段。

挑戰(zhàn)三：弱檢測，無響應(yīng)

解決方案：將檢測和響應(yīng)由一個平臺自動化實(shí)現(xiàn)

SIEM一直存在“弱檢測，無響應(yīng)”的問題，它們甚至從未打算做響應(yīng)功能。但有效的警報分類需要兩者(檢測和響應(yīng))之間相互作用。企業(yè)可以通過兩種方式解決該問題：

通過添加另一種技術(shù)來對抗產(chǎn)生許多誤報的嘈雜系統(tǒng);
查詢和分析為什么檢測技術(shù)會產(chǎn)生如此多的警報和誤報。

通過智能自動化，分析人員可以將他們的分類過程編碼到檢測引擎中，然后讓機(jī)器來執(zhí)行，將檢測和響應(yīng)視為兩個孤立部分是不正確的。我們應(yīng)該將檢測和響應(yīng)視為同一過程的兩個階段。

挑戰(zhàn)四：SIEM系統(tǒng)不會“學(xué)習(xí)”

解決方案：機(jī)器學(xué)習(xí)可以通過不斷學(xué)習(xí)變得更好

在大多數(shù)情況下，SIEM不會機(jī)器學(xué)習(xí)或很少使用機(jī)器學(xué)習(xí)算法，這不利于高效安全運(yùn)營工作的開展?，F(xiàn)在，想象一下，你可以為每一位安全分析師和工程師雇傭10名“助手”，并且這些“助手”可以不斷學(xué)習(xí)、完全可定制、自動執(zhí)行任務(wù)，而且速度比人類快10倍、100倍甚至1000倍，并且7X24全天候運(yùn)行，這是一種怎樣的場景？

實(shí)踐已經(jīng)證明，企業(yè)安全運(yùn)營中心(SOC)可以在機(jī)器學(xué)習(xí)技術(shù)的幫助下，更有效地檢測、分析和響應(yīng)海量數(shù)據(jù)，更關(guān)鍵的是，速度要比任何人都快約1000倍。這就意味著安全團(tuán)隊(duì)可以騰出時間專注于只有他們能勝任的高級工作，例如一些難以或不可能自動化處理的任務(wù)，或者需要對行業(yè)和企業(yè)具有深刻且人性化理解的事情。

挑戰(zhàn)五：SIEM系統(tǒng)應(yīng)用成本太高

解決方案：經(jīng)濟(jì)實(shí)惠、靈活的自動化選項(xiàng)

有調(diào)查顯示，有32%的安全專家表示SIEM運(yùn)營需要大量的人員培訓(xùn)和經(jīng)驗(yàn)，而21%的人認(rèn)為SIEM需要不斷調(diào)優(yōu)并消耗大量運(yùn)營資源才能發(fā)揮作用。這就是為什么許多企業(yè)的安全團(tuán)隊(duì)必須做出艱難的決定，決定他們可以將多少(以及哪些類型的)數(shù)據(jù)提取到SIEM中進(jìn)行分析。其余的數(shù)據(jù)只能存儲在沒有處理能力的系統(tǒng)中，無法處理、分析和提取有關(guān)威脅的寶貴見解，即便是明顯的攻擊跡象(類似Log4j事件)有時也會被忽略。這會帶來巨大的安全風(fēng)險。

鑒于SIEM的應(yīng)用成本差異，企業(yè)組織可以根據(jù)自身的需求，選用更好、更具成本效益的技術(shù)解決方案。智能自動化可以實(shí)現(xiàn)高度檢測和響應(yīng)，價格合理、透明，可以針對每個組織的業(yè)務(wù)需求進(jìn)行定制。這對于很多中小企業(yè)、初創(chuàng)公司和非營利組織來說，會更加適合一些。

原文鏈接：

https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdr
https://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf

文章題目：告別孤立的安全告警！立刻升級SIEM的五大理由
瀏覽路徑：http://m.fisionsoft.com.cn/article/cdjccdg.html

新聞中心

挑戰(zhàn)一：原始數(shù)據(jù)量多，噪音太大

解決方案：數(shù)據(jù)自動化處理，消除“誤報”

挑戰(zhàn)二：過時的、基于規(guī)則的識別技術(shù)