原作者：克里斯·米南

網(wǎng)絡安全在過去十年中取得了很大進步。改進的標準（例如 MITRE）、威脅情報、流程和技術極大地幫助提高了可見性、自動化信息收集 (SOAR) 和許多手動任務。此外，新的分析 (UEBA/SIEM) 和端點 (EDR) 技術可以檢測并經(jīng)常阻止整類威脅。現(xiàn)在，我們看到了攻擊面管理 ( ASM )等技術的出現(xiàn)，這些技術開始幫助組織變得更加主動并集中精力以獲得最大影響。

然而，向云的遷移和攻擊面的相關擴展現(xiàn)在大大增加了環(huán)境的復雜性。2022 年IBM Security X-Force 云威脅態(tài)勢報告發(fā)現(xiàn)，混合云環(huán)境的持續(xù)擴展對安全團隊來說是一項重大挑戰(zhàn)。X-Force 觀察到新的云漏洞與前一年相比增加了 28%。此外，在云環(huán)境中運行的易受攻擊的面向公眾的應用程序已成為攻擊者的常見目標，組織可能難以對環(huán)境中運行的所有應用程序進行編目以確保所有應用程序都已打好補丁。

這反過來會導致三件事發(fā)生：

更多數(shù)據(jù)：需要收集更多安全遙測數(shù)據(jù)以提供必要的可見性。由于大多數(shù)此類數(shù)據(jù)是在云平臺中生成的，因此增加了成本和復雜性，尤其是在云之間轉(zhuǎn)移數(shù)據(jù)并非免費的情況下。

更多工具：部署和使用更多安全工具來為新的云基礎設施（例如，CWPP、ITDR、CDR 等）提供保護、可見性和響應。在許多情況下，出于權宜之計（“嘿，這適用于技術 X”）或出于財務原因（“嘿，這對云 Y 是免費的”），安全團隊確實從 DevSecOps 或 CIO 那里獲得了新的安全工具。

更多的用戶體驗復雜性和更多的警報：更多的工具、更多的數(shù)據(jù)、更多的移動部件導致安全團隊在領先于攻擊者方面面臨更大的阻力。他們面臨著額外的集成和配置工作，以及成為專家的新用戶體驗，因為他們從一個轉(zhuǎn)向另一個以追捕威脅。根據(jù)2023 年 IBM 全球安全運營中心研究，接受調(diào)查的 SOC 專業(yè)人員表示，他們在典型的工作日內(nèi)只審查了 49% 的警報，其中近三分之二是低優(yōu)先級或誤報。此外，81% 的受訪者表示，人工調(diào)查拖慢了他們的速度——這是威脅響應時間最常見的拖累。

最后，成本越來越成為決策的一個因素。所有組織都在尋找通過利用現(xiàn)有投資和利用“包含”的功能以及提高團隊生產(chǎn)力來控制成本的方法。不幸的是，呈指數(shù)級增長的數(shù)據(jù)量、額外的安全工具以及具有復雜且昂貴的許可模型的傳統(tǒng)工具正在帶來巨大的阻力。

毫不奇怪，63% 的組織尋求提高其安全運營中心的檢測和響應能力。

混合云現(xiàn)代化 SOC 所需的 DNA

為了應對這些挑戰(zhàn)，我們需要重新思考一些推動我們做出今天的決定的優(yōu)先事項。

首先，我們需要針對分析師體驗進行設計。從歷史上看，我們的行業(yè)一直非常受工具驅(qū)動，這在當時是重中之重。但現(xiàn)在我們需要關注我們的團隊、他們的生產(chǎn)力和工作滿意度。我們需要降低他們必須處理的 UX 復雜性（多樣性、語言、詞匯）。

其次，我們需要利用內(nèi)置的人工智能、自動化和專業(yè)知識來擴大我們今天安全團隊中的專家和英雄。你知道那些——他們只是讓一切正常，他們可以在所有復雜的基礎設施中追蹤威脅。當需要緊急行動和答案時，他們是您所依賴的。自動化和人工智能是實現(xiàn)這一目標所需的核心。支持 AI 的技術可以為分析師完成繁重的工作，支持從威脅調(diào)查到建議的補救措施的一切工作。根據(jù)IBM 商業(yè)價值研究院的數(shù)據(jù)，采用 AI 可以顯著減少網(wǎng)絡安全事件的檢測天數(shù)和調(diào)查時間，分別減少多達 50% 和 29% 。

最后，我們需要啟用開放系統(tǒng)和社區(qū)協(xié)作。云世界的現(xiàn)實是，安全性將跨多個系統(tǒng)聯(lián)合起來。組織需要選擇他們將利用哪些安全系統(tǒng)，而這種方式不會增加復雜性或給他們的團隊帶來專有生態(tài)系統(tǒng)和內(nèi)容的負擔。促進協(xié)作集成和威脅檢測內(nèi)容的開放標準越來越成為絕對必要的。根據(jù) SANS Institute 的數(shù)據(jù)，66% 的受訪安全團隊表示他們正在優(yōu)先考慮集成以幫助改善他們的安全運營。

宣布推出 IBM Security QRadar Suite

15 年來，QRadar 一直是市場領先的 SIEM，在NDR、UEBA、AI（Watson for Cyber ）的分析方面進行了大量創(chuàng)新。現(xiàn)在，新的IBM Security QRadar Suite已經(jīng)擴展到還包括EDR /XDR 和SOAR，以及新的云原生日志分析功能 (Log Insights)，以實現(xiàn)經(jīng)濟高效的收集、分析、可視化和超快速搜索云規(guī)模和輕松的數(shù)據(jù)。將這些功能統(tǒng)一到一個單一的模塊化平臺上，實現(xiàn)逐步采用，為用戶提供一個完整的 TDIR 系統(tǒng)。隨著每個解決方案的采用，它會在幾乎沒有增量培訓或集成的情況下為分析師體驗增加功能、上下文、洞察力和自動化。除了支持安全團隊所需的所有核心功能外，新的 QRadar Suite還專門圍繞我們之前討論的保護混合云的現(xiàn)代化 SOC所需的 DNA 需求而設計：

開放系統(tǒng)和社區(qū)協(xié)作

新的 QRadar Suite 不僅建立在一個開放的混合云平臺 (OpenShift) 上，該平臺支持云原生的彈性、彈性架構以及選擇在何處和如何（例如，許可軟件或 SaaS），而且還在整個過程中利用開放標準。

例如，QRadar Suite 中的所有產(chǎn)品都支持關聯(lián)來自第三方的安全發(fā)現(xiàn)以及聯(lián)合搜索，使組織能夠利用他們今天擁有的工具并選擇他們將來使用的工具，所有這些都無需移動他們的數(shù)據(jù). 該套件還在威脅檢測、調(diào)查和響應中原生利用 MITRE 和 SIGMA——使安全團隊能夠以社區(qū)的速度無縫移動，以跟上攻擊者的步伐。

內(nèi)置人工智能、自動化和專業(yè)知識

該套件嵌入了人工智能和自動化創(chuàng)新，這些創(chuàng)新已被證明可以在第一年將警報和優(yōu)先級排序速度平均提高 55%，響應時間平均提高8 倍，調(diào)查速度提高 60 倍。此外，該套件還包括來自 X-Force 團隊的不斷更新的威脅檢測和響應內(nèi)容，以及從與全球數(shù)千家客戶合作中收集的見解。

該套件還包括一個新的創(chuàng)新自動化調(diào)查功能，該功能將跨多個系統(tǒng)自動調(diào)查警報（利用聯(lián)合搜索、威脅情報和 SIGMA），無論它來自何處，并將調(diào)查結果以及建議的響應行動匯總到一個單一的、易于使用的時間表，供分析師快速審查和執(zhí)行。

專為分析師體驗而設計

QRadar Suite 圍繞統(tǒng)一的分析師體驗構建，可在整個 EDR/XDR、SIEM、SOAR 和安全日志管理 (SLM) 的調(diào)查、響應和威脅搜尋工作流程中協(xié)助安全分析師。這種新的統(tǒng)一體驗不僅適用于 IBM QRadar Suite，還適用于 40 多種第三方技術，因為它基于開放標準和聯(lián)合搜索。該體驗是與我們的安全團隊和專家一起設計的，并融入了他們的專業(yè)知識和見解，為他們帶來“什么？”、“誰？”、“哪里？”、“何時？”以及重要的“我應該做什么”接下來做什么？他們需要一個簡單易用的工作流程。

QRadar Suite 專為滿足當今和未來的安全運營和混合云環(huán)境的需求而構建，可幫助 SOC 分析師更快地做出更好的決策，同時增強他們的威脅檢測和響應能力。面對不確定性和復雜性，希望對其 SOC 進行現(xiàn)代化改造的組織會感到更加自信和受到支持。

編譯自：IBM securityintelligence