阅读量:0
Exabeam 发布了一项新调查,发现所有受访者中有 46% 运营着多个云或本地 SIEM 平台。
SIEM 状况报告还显示,在接受调查的 500 名 IT 安全专业人员中,97% 的人相信他们已配备必要的工具和流程来识别和阻止入侵和破坏。
然而,根据最近的安全行业报告,83% 的组织在 2022 年经历了不止一次数据泄露。
调查结果表明市场承诺与团队认知之间存在相当大的脱节。因此,团队缺乏全面的可见性和背景,无法将对手行为归零,从而确定重大事件和违规行为的原因。
因此,大规模的数据泄露和数百万美元的补救工作正在对组织的品牌、客户保留造成损害,并分散业务势头和预算。
使用 SIEM 工具的人的一项重要发现是,64% 的拥有一个平台的人“非常有信心”他们可以仅根据对手行为检测网络攻击,而拥有两个或更多平台的人中有 59% 的人“非常有信心”。
4% 的安全专业人员表示未使用 SIEM 平台,而在这些受访者中,81% 的人有信心。
然而,只有 17% 的受访者可以看到 81-100% 的网络。
Exabeam 指出,由于许多分析师缺乏完整的可见性,因此对手更有可能潜伏在黑暗的角落。
当漏洞发生时,对手通常已经在网络中,这使得安全团队很难阻止他们。
然而,这项研究揭示了一个事实,即尽管如此,65% 的安全团队还是选择了预防而不是威胁检测、调查和响应 (TDIR)。
此外,只有 33% 的人表示检测是他们的最高优先级。
安全投资也反映了这种看法,71% 的人将 21-50% 的安全预算用于预防,59% 的人将相同比例的资金用于 TDIR。
众所周知,真正的问题不是攻击者是否在网络中,而是攻击者有多少,他们访问了多长时间,以及他们走了多远。
团队需要将这个问题社会化,并将其视为重新调整投资和执行的不成文期望,将必要的重点放在对手对齐和事件响应上以期防止预防失败。
研究还发现,团队通常对他们预防攻击的能力过于自信,当受访者受到挑战时,这种确定性会大大降低。
只有 62% 的受访者表示,他们会“非常有信心”告诉经理或董事会当时没有对手入侵他们的网络,而超过三分之一的受访者表示怀疑。
商界领袖在问,‘为什么坏事不断发生?’ 答案是安全团队过于自信。
许多供应商承诺过高,导致组织无法有效地确定正常行为的 SIEM,而且正如数据显示的那样,有些供应商完全没有 SIEM。这导致倦怠,因为团队根本无法检测异常或防止入侵。
进一步的调查结果表明,工作人员正因平台和流程问题而遭受更高程度的倦怠。
随着攻击次数的增加,安全工作的要求也越来越高,43% 的受访者表示,他们工作中最糟糕的部分是无法防止坏事发生。
以下是:
由于安全产品集成问题而缺乏完整的可见性 (41%)
无法集中和理解事件或事件的全部范围 (39%)
无法管理检测警报的数量,误报太多 (29%)
对他们已经解决了网络上的所有问题没有信心 (29%)
Exabeam 还发现,超过 90% 的安全专业人员都在为凭证泄露而苦苦挣扎。
该公司指出,重要的是要认识到一些 SIEMS 不使用行为分析,并且可能会错误地将合法用户行为标记为恶意行为,这会增加团队分类时误报警报的可能性,并导致相关团队精神疲劳。
这导致了以下结果:
只有 11% 的受访者能够在不到一小时内确定检测到的恶意行为的总体影响
52% 的人报告说他们可以在一到四个小时内对其进行分析
34% 需要 5 到 24 小时来识别高优先级异常
然而,Exabeam 指出,数据泄露通常在攻击发生几分钟后就开始了,而对手可以在短短几个小时内造成重大破坏。
尽管在预防工具上投入了大量资金,但攻击者仍在使用受损凭据闯入组织——这是预防解决方案无法检测到的。
如果这些是我们在安全市场领先的美国看到的模式,那么 EMEA 和 APAC 等其他地区的情况可能会更糟。
幸运的是,当组织投资于具有自动洞察力、行为分析和由 New-Scale SIEM 等平台提供的流程的检测工具时,安全从业者可以更好地检测、调查和响应对手。
微信公众号:网络研究院整理发布,关注下载相关资源不错过更新:
SIEM 2022 现状报告
这份 2022 年安全信息和事件管理 (SIEM) 状况报告调查了数百名使用 SIEM 的网络安全和 SecOps 专业人员,以了解他们面临的挑战、挫折和需要改进的领域。作为本报告的一部分,我们对主要发现进行了简短总结,我们希望在此分享:
大多数从业者对其关键安全数据的覆盖范围不完整
警报质量是安全团队从其 SIEM 中获取价值的第一大障碍
现有环境中的大多数 SIEM 部署时间超过 30 天
云原生 SIEM 正在获得更多关注,并将继续超越传统 SIEM
这些发现表明了我们长期以来所知道的事实,即向云的转变导致了安全团队需要收集、分析和保留以检测威胁的数据激增。但是,由于其遗留 SIEM 的局限性,它们受到阻碍,这些 SIEM 要么成本太高要么速度太慢,无法提供有意义的结果。
然而,每一朵乌云都有一线希望。在这份报告中,我们注意到越来越多的组织正在采用在云中构建和运行的现代 SIEM。借助现代 SIEM,安全团队可以摄取比以往更多的数据并接收高质量警报。
查看 2022 年报告,了解 SecOps 专业人员如何跟上他们现有环境的步伐,以及他们可能采取的下一步行动。
SIEM 状态白皮书
安全和信息事件管理 (SIEM) 市场正在经历转型,其推动因素是不断发展的 IT 基础架构:云计算、移动性、虚拟化和其他业务驱动因素。
传统的 SIEM 不再满足安全专家不断增长的需求,他们面临新的和正在出现的威胁。那么 SIEM 技术的未来会是什么样子呢?
本白皮书讨论了将当今的 SIEM 与以前的迭代明显区分开来的功能。然后,它超越了当今业界对 SIEM 的理解,并讨论了 SIEM 市场自然而然的下一个进化步骤应该是什么。见解包括:
SIEM 当前和未来的基本功能,包括需要寻求的编排、自动化、分析和响应功能
与其他安全工具集成可以扩展调查能力、事件响应、报告等
自动、持续的威胁情报更新对于帮助您更快地应对威胁的重要性
Unified Security Management® (USM™) 平台如何超越简单的收集、关联和分析日志数据,充当中央控制台,团队可以从中协调集成的网络防御态势
买家应该考虑向他们的 SIEM 竞争者询问的问题
立即下载此白皮书,以帮助指导您的组织的 SIEM 之旅。
2022 SIEM 报告
安全信息和事件管理 (SIEM) 解决方案可帮助像您这样的组织通过有效的安全事件管理来集中安全协议。SIEM 解决方案收集、聚合和分析来自各种 IT 系统的日志和事件数据,创建有关可疑活动的报告以监控 IT 环境的健康状况。
来自 Cybersecurity Insiders 的 2022 SIEM 报告重点关注网络安全专业人员如何看待和使用这些安全监控解决方案。超过十分之八的公司表示在部署 SIEM 后检测威胁的能力有所提高,近 90% 的受访者要么使用 SIEM,要么计划在未来实施。
下载该报告时,您会发现来自各行各业网络安全专家的更多 SIEM 见解,包括:
相关用例
威胁管理优先事项
SIEM 功能
SIEM 解决方案的评估标准
2022 年 SIEM 检测风险报告
在我们的第二份年度报告中,CardinalOps 分析了来自生产 SIEM 实例的聚合和匿名数据,以了解 SOC 准备检测最新的对手技术 斜接攻击. 这很重要,因为在入侵生命周期的早期检测恶意活动是防止对组织造成重大影响的关键因素。
分析表明,实际检测覆盖率仍远低于大多数组织的预期,并且许多组织没有意识到他们假设的理论安全与实际部署的防御之间的差距。
用于此分析的数据集涵盖多种 SIEM 解决方案——包括 Splunk、Microsoft Sentinel 和 IBM QRadar——包含超过 14,000 个日志源、数千条检测规则和数百种日志源类型。
下载报告以衡量您在关键领域的检测覆盖率,包括:
覆盖野外对手使用的前 14 种 ATT&CK 技术。
ATT&CK 知识库中所有 190 多种技术的覆盖率百分比。
检测质量通过非功能性规则的百分比来衡量,并且永远不会由于常见问题(例如配置错误的数据源和缺少字段)而触发。
SIEM 摄取但未与任何检测规则关联的前 3 个日志源(答案会让您大吃一惊)。
来自 SIEM 供应商的通用、开箱即用的内容因噪音和定制挑战而被禁用的百分比。
该报告还包括一系列最佳实践建议,以提高检测覆盖率的稳健性。
