警报围城:SOC团队如何突破威胁检测工具的误报困境

新闻
1月前

在网络安全领域,安全运营中心(SOC)的专业人员正面临着一个日益严重的问题:安全工具发出的误报数量太多。误报是指安全工具错误地将无害的活动标记为潜在威胁,这不仅消耗了大量资源,还可能导致真正的安全威胁被忽视。

警报围城:SOC团队如何突破威胁检测工具的误报困境.jpg

根据Vectra公司对数百名网络安全专家的调查,SOC团队对他们的安全软件供应商感到极度不满。这些工具产生的大量误报让他们疲惫不堪,真正的威胁却往往被忽略。

Vectra AI的研究和战略副总裁Mark Wojtasiak指出:“与去年相比,情况并没有太大改善。SOC从业者对威胁检测工具的失望情绪仍然很高。实际上,数据显示,SOC团队面临的不仅仅是威胁检测问题,还有攻击信号的问题。他们需要的是准确的攻击信号,而不是整合和平台化的空谈。”


01

SOC怎么说?叮叮叮


那么,SOC团队每天要处理多少安全警报呢?平均每天高达3,832条。考虑到一个SOC可能只有几名到几十名员工,这无疑是一个巨大的挑战。因此,81%的SOC工作人员每天至少需要花费两个小时来筛选和分类这些安全警报。这导致54%的受访者表示,他们使用的工具并没有简化工作,反而增加了工作量,而62%的安全警报最终被忽略。


02

海量警报信息引发不满


SOC团队深知忽略安全警告的后果。71%的人表示,他们每周都担心会错过被大量不太重要的警报淹没的攻击。甚至有50%的人认为,他们的威胁检测工具在发现真正的攻击方面“弊大于利”。

这种矛盾正在引发对供应商的真正不满。大约60%的受访者表示,他们购买安全软件主要是为了满足合规要求,而47%的受访者根本不信任这些程序。同样比例(62%)的受访者认为,供应商故意发送大量警报,以便在发生违规行为时,他们可以辩解说:“我们已经警告过你!”

大多数(71%)SOC从业者表示,供应商需要对未能防止违规行为承担更多责任。


03

人工智能如何提高SOC效率


那么,人工智能如何提高SOC的效率呢?人工智能最实际的前景是减少重复性工作的乏味,并提高生产力。SOC员工尤其能从中受益。

沃伊塔西亚克表示,人工智能是实现整体思维转变的途径。他解释说:“安全思维过去10年的基本方式是:我有网络、终端、身份、电子邮件,现在还有生成式人工智能(GenAI)。我要去购买工具来跨这些孤立的攻击面进行威胁检测,然后请人类来理解这一切。现代攻击者只看到一个巨大的攻击面,他们可以在其中移动。

那么为什么安全人员不这样想呢?为什么我们不从整个攻击面全面看待威胁,使用人工智能将指示攻击者行为的检测结果拼凑在一起,关联这些检测结果,然后向SOC分析师发出一个综合信号?”

许多SOC已经开始这样做了。约67%的Vectra调查受访者发现人工智能已经提高了他们识别和防御威胁的能力,73%的人声称这有助于缓解他们的倦怠感。近九成受访者已经增加了对人工智能的投资,并计划进一步投资。

沃伊塔西亚克报告说:“我听说他们在引入这些新工具后取得了积极成果——工作量减少、倦怠减少、扩张减少。希望随着孤立的传统工具被能够发出准确攻击信号的人工智能工具所取代,当前的挫败感将得到缓解。”