企业网络安全运营面临的主要挑战是工具和手动流程太多,没有足够的员工或专业技能。网络安全运营的主要能力短板则包括与IT部门合作,软件开发以及与开发人员合作的能力。今天,这些问题在安全效率和运营效率方面仍然困扰着很多企业。
ESG的研究报告“SOC现代化和XDR的作用”从不同的角度调查了376名受访者安全运营所面临的挑战和能力短板,结果如下:
与IT运营部门合作。30%的安全专业人员受访者表示,他们的安全运营团队最不擅长与IT运营团队合作来降低安全风险或响应安全事件。这是一个问题,因为网络安全风险管理是一项团队工作,安全团队可以识别风险并确定其优先级——例如漏洞、配置错误、特权帐户等。然后IT运营部门负责缓解这些风险,例如安装补丁、更改配置设置等。安全运营团队与IT部门的合作不顺畅将导致企业资产暴露,或者给人一种错觉,即安全列车正在准时运行,而实际上,列车已经迟到或即将脱轨。
缺乏编程和软件开发技能。30%的受访者表示,他们的安全运营团队最不精通开发安全工作流程的软件开发技能。安全开发技能很多与流程自动化有关,通常需要Python和脚本开发技能。由于流程自动化对于扩展安全运营至关重要,因此,如果安全运营团队存在开发短板,一方面企业可以使用现有工具中的自动化功能,例如终结点检测和响应、扩展检测和响应、威胁情报平台、SIEM等;此外,企业还可以寻求低代码/无代码安全编排、自动化和响应工具的替代方案,例如Torq。
软件开发团队在降低风险方面的问题。26%的受访者表示,他们的安全运营团队最不擅长与软件开发团队合作来降低代码中的安全风险。鉴于敏捷开发、DevOps、云原生应用程序和数字化转型计划的爆炸式增长,这种技能短板应该引起CISO的高度重视。DevSecOps有助于帮助企业平衡软件开发效率和风险管理的需求。
安全警报分级。10%的受访者表示,他们的安全运营团队最不擅长对安全警报进行分类。这是另一个熟悉的问题,通常是来自警报风暴或技能较低的一级分析师。领先的企业正在通过培训员工、调整检测规则、自动执行低级别响应操作、使用Mitre ATT&CK框架驱动更多警报上下文、使用准确的威胁情报丰富警报以及在攻击模式中将警报关联在一起来解决此问题。
安全分析和基础架构的运营和维护。24%的受访者表示,他们的安全运营团队在维护和运营安全分析和运营基础设施方面最不熟练。这同时也是一个经常被低估的问题。安全工具可能需要大量调整和更新才能最大限度地提高效率。当安全团队不堪重负时,他们经常忽视这种维护,从而给安全运营工作造成麻烦。基于云的SaaS或托管服务可以在这方面提供帮助。安全团队还应经常验证安全控制措施,以了解是否可以依靠它们来预防和检测网络攻击,比如新型的DDOS攻击、僵尸病毒、零日漏洞、供应链攻击。