数据悖论：提升安全运营中心的挑战

关键点

在安全运营中心SOC内，冲突不断加剧。数十年来，安全团队一直在平衡其财务需求与安全需求，以决定应使用和维护哪些数据来保护组织。然而，随着数据量和存储成本飙升，这种不完美的方法已导致SOC面临的最大挑战之一：数据悖论。

数据悖论指的是为了安全目的而收集和分析大量数据的需求与日益增长的管理数据复杂性和成本之间的斗争。根据我们最近的研究，到2023年，平均突破时间已缩短至62分钟，而记录的最快攻击时间只有2分7秒。对手变得越来越迅速，SOC团队必须加快步伐。然而，随着组织迁移到云端，采用SaaS和AI技术，安全团队面临的挑战是需要处理和分析大量数据以检测、调查和响应威胁。因此，许多团队在与对手的较量中逐渐落后。

为什么传统SIEM失败了

造成数据悖论的一个原因是安全信息和事件管理SIEM工具。这些工具最初是在二十年前设计的，目的是将来自不同工具的数据集中，以供团队使用以保护业务。然而，这些SIEM工具是在当时日志量和对手速度都远低于今天的情况下构建的。它们未能随着数据量的指数级增长和对手的复杂性变化而演变和扩展。

想象一下，团队需要调查一起事件，并希望立即获取公司所有数据，以全面了解事件并确定后续步骤。对于许多SOC团队而言，这现在已变得不可达，因为使用传统SIEM工具收集进行全面调查所需的所有必要数据既耗时又成本高昂。SOC团队被迫根据预算选择哪些数据进行分析，这导致了信息的不完整、调查和响应的不足以及防止违规的保护措施不足。

为了获得所需的数据和可见性，安全团队创建了由传统SIEM、多数据湖、检测和响应工具组成的拼凑架构。这种做法变得问题重重，因为安全分析师被迫充当“数据处理者”，他们花费时间在多个控制台之间切换并手动关联数据。因此，他们无法专注于保护业务的核心任务。

用下一代SIEM打破数据悖论

一种新一代的SIEM下一代SIEM工具已出现，以帮助安全团队扩大规模，处理他们拥有的每一个数据源，而无需承担高昂的成本。这些云原生工具根本改变了SOC的运作方式，使他们终于能够摆脱数据悖论问题。

安全团队不再需要在预算限制下权衡使用或丢弃哪些数据。有了下一代SIEM的可扩展云架构，处理增长数据量不再需要额外的服务器和人力。此外，借助创新的压缩技术，SOC团队现在可以以比传统SIEM更低的费用保存几个月甚至几年的数据。

这些下一代SIEM工具承诺实现整合，以加速调查并提高响应速度。分析师不再需要在控制台之间跳转以及手动整合数据。无须转发和定期检索EDR、云工作负载或身份保护日志，也无须担心网络延迟或积压问题，因为重要数据已经在平台上并可供关联，从而减少平均检测时间。

面对快速的数据增长和不断演变的威胁环境，SOC必须解决在摄取和存储所有数据的愿望与控制摄取和存储成本之间的矛盾。将SOC团队置于不断做出关键数据决策的状态，可能会导致广泛的影响，例如安全盲点、调查时间缓慢和分析师疲惫，这些都会增加违规的风险。是时候摆脱传统SIEM，接受下一代SIEM，以提升SOC的表现。

Ajit Sancheti Falcon NextGen SIEM总经理，CrowdStrike

本文为SC Media的观点栏目，作者