Звіт показує, що фахівці центрів операцій безпеки (SOC) вважають, що вони програють битву за виявлення та пріоритизацію реальних загроз через надмірну кількість ізольованих інструментів і відсутність точного сигналу атаки.
Вони посилаються на зростаючу недовіру до постачальників, вважаючи, що їхні інструменти можуть бути більше перешкодою, ніж допомогою у виявленні реальних атак. Це суперечить зростаючій впевненості в здібностях своїх команд і почуттю оптимізму щодо обіцянок штучного інтелекту (ШІ).
Гібридний ландшафт атак продовжує розширюватися, оскільки організації все частіше використовують інструменти на базі ШІ для оптимізації процесів і підвищення ефективності роботи. Це створює більше можливостей для зловмисників і викликів для команд безпеки, які вже стикаються з шумом від сповіщень про безпеку та хибними спрацюваннями.
Незважаючи на те, що команди SOC більш впевнені у своїй обороні, ніж рік тому, багато хто вважає, що у них немає правильних інструментів, які допомогли б їм ефективно виявляти та пріоритизувати реальні загрози.
На основі опитування 2000 фахівців з безпеки, звіт пояснює, чому існує цей розрив, як поточні рішення для виявлення загроз не справляються, і яку роль відіграє ШІ у покращенні процесу, забезпеченні точного сигналу загрози та зменшенні робочого навантаження.
Впевненість SOC фахівців зростає, але багато хто побоюється, що традиційні інструменти стримують їх
Фахівці з безпеки все більше впевнені у своїх можливостях, але вважають, що вони втрачають ґрунт, коли справа доходить до виявлення та пріоритизації реальних загроз.
Багато команд SOC керують занадто великою кількістю інструментів і все ще стикаються з величезною кількістю сповіщень, що призводить до занепокоєння щодо пропуску критичних загроз. Це призводить до нестачі довіри до поточних інструментів виявлення загроз, які використовують практики, і призводить до того, що практики шукають альтернативні рішення, такі як розширені рішення для виявлення та реагування (XDR). Дослідження показало:
-
Майже три чверті (71%) фахівців SOC побоюються, що пропустять справжню атаку, завалену потоком оповіщень, а 51% вважають, що не встигають за кількістю загроз безпеці.
-
Майже половина (47%) фахівців не довіряють своїм інструментам працювати так, як їм потрібно, а 54% кажуть, що інструменти, з якими вони працюють, насправді збільшують робоче навантаження SOC, а не знижують його.
-
73% спеціалістів SOC мають понад 10 інструментів, а 45% – понад 20 інструментів.
-
62% команд або недавно впровадили, або вивчають рішення розширеного виявлення та реагування (XDR).
Застарілі інструменти виявлення загроз створюють більше роботи для фахівців, що призводить до зростання недовіри до постачальників та незадоволеності ними.
Команди SOC все більше розчаровуються у своїх поточних інструментах безпеки, які створюють більше проблем, ніж вирішують. Багато фахівців виявляють, що відкладають критичні завдання, щоб упоратися з величезним обсягом одержуваних ними оповіщень, що призводить до незадоволеності не тільки інструментами, а й постачальниками, які їх надають.
Фахівці також продовжують боротися з точністю сповіщень, оскільки значна кількість сповіщень залишається поза увагою через обмеження часу та недостатню підтримку інструментів. Хоча є ознаки покращення в таких областях, як видимість у гібридних середовищах, величезний обсяг оповіщень залишається серйозною проблемою.
Дослідження також показало:
-
60% фахівців SOC говорять, що постачальники продають інструменти виявлення загроз, які створюють занадто багато шуму та занадто багато оповіщень, тоді як 71% кажуть, що постачальники повинні брати на себе більше відповідальності за нездатність зупинити порушення.
-
81% фахівців SOC витрачають понад 2 години на день на вивчення/сортування подій безпеки.
-
50% фахівців SOC кажуть, що їхні інструменти безпеки швидше заважають, ніж допомагають, коли справа доходить до виявлення реальних атак, відзначаючи, що насправді вони можуть впоратися лише з 38% одержуваних ними оповіщень, у той час як 16% з них класифікують як "реальні атаки".
-
60% фахівців SOC кажуть, що багато їхніх інструментів безпеки купуються як вправа «для галочки» для відповідності вимогам.
Сприйняття та довіра до ШІ для виявлення загроз зростає, але постачальникам ще є над чим працювати
SOC все частіше впроваджують ШІ для покращення виявлення та реагування на загрози, що обумовлено зростаючою довірою до можливостей ШІ. Хоча багато фахівців з оптимізмом дивляться на потенціал ШІ щодо забезпечення ефективності сигналів загроз для точного виявлення та реагування на загрози, зниження робочого навантаження та заміни застарілих інструментів, все ще існують побоювання з приводу ускладнення і без того перевантаженої системи. Незважаючи на проблеми, існує твердий намір більше інвестувати у рішення на основі ШІ для підвищення ефективності та результативності. Однак, щоб ШІ дійсно отримав широке визнання, постачальники повинні працювати над відновленням довіри, надаючи інструменти, які додають реальну цінність, не збільшуючи навантаження на команди SOC. Дослідження показало:
-
85% фахівців SOC кажуть, що рівень їх інвестицій та використання ШІ виріс за останній рік, а 67% відзначили, що ШІ справив позитивний вплив на їхню здатність виявляти та усувати загрози.
-
75% фахівців SOC кажуть, що ШІ знизило їхнє робоче навантаження за останні 12 місяців, 73% фахівців SOC кажуть, що ШІ зменшив почуття вигоряння за останні 12 місяців.
-
89% фахівців SOC планують використовувати більше інструментів на базі ШІ протягом наступного року, щоб замінити застарілі засоби виявлення та реагування на загрози.
«Багатообіцяюче бачити, що довіра серед фахівців з безпеки зростає; однак очевидно, що вони все більше розчаровуються у своїх поточних інструментах виявлення загроз, які через відсутність інтегрованого сигналу атаки часто створюють додаткову роботу, а не спрощують процес. Дані свідчать про те, що інструменти, які використовуються для виявлення та реагування на погрози, а також постачальники, які їх продають, не виконують свою частину угоди», - Марк Войтасіак, віце-президент з досліджень та стратегії Vectra AI.
«Команди вважають, що ШІ подає сигнал атаки, який допоможе їм виявляти та пріоритизувати загрози, прискорювати час реагування та знижувати втому від сповіщень, проте довіру необхідно відновити. Пропозиції на основі ШІ мають позитивний вплив, але щоб по-справжньому відновити довіру, постачальникам необхідно буде показати, як вони додають цінність, що виходить за рамки технологій, що ними продаються».
VectraAl - надбання компанії NWU для кібербезпеки України
Vectra AI - це потужне рішення, яке може допомогти організаціям захиститися від атак на основі GenAI. Завдяки своїй здатності точно та швидко виявляти GenAI-атаки, а також забезпечувати видимість та простоту використання, платформа Vectra AI є цінним доповненням до будь-якої програми кібербезпеки.
Завдяки компанії NWU, що є офіційним дистриб'ютором VectraAl в Україні, відтепер на вітчизняному IT-ринку стало можливо купити NDR (Network Detection and Response) від світового лідера, що є невід'ємною частиною SOC-тріади.
Купити NDR для SOC або замовити тестування:
Продукти Vectra