原作者：克里斯·米南

網絡安全在過去十年中取得了很大進步。改進的標準（例如 MITRE）、威脅情報、流程和技術極大地幫助提高了可見性、自動化信息收集 (SOAR) 和許多手動任務。此外，新的分析 (UEBA/SIEM) 和端點 (EDR) 技術可以檢測并經常阻止整類威脅。現在，我們看到了攻擊面管理 ( ASM )等技術的出現，這些技術開始幫助組織變得更加主動并集中精力以獲得最大影響。

然而，向云的遷移和攻擊面的相關擴展現在大大增加了環境的復雜性。2022 年IBM Security X-Force 云威脅態勢報告發現，混合云環境的持續擴展對安全團隊來說是一項重大挑戰。X-Force 觀察到新的云漏洞與前一年相比增加了 28%。此外，在云環境中運行的易受攻擊的面向公眾的應用程序已成為攻擊者的常見目標，組織可能難以對環境中運行的所有應用程序進行編目以確保所有應用程序都已打好補丁。

這反過來會導致三件事發生：

更多數據：需要收集更多安全遙測數據以提供必要的可見性。由于大多數此類數據是在云平臺中生成的，因此增加了成本和復雜性，尤其是在云之間轉移數據并非免費的情況下。

更多工具：部署和使用更多安全工具來為新的云基礎設施（例如，CWPP、ITDR、CDR 等）提供保護、可見性和響應。在許多情況下，出于權宜之計（“嘿，這適用于技術 X”）或出于財務原因（“嘿，這對云 Y 是免費的”），安全團隊確實從 DevSecOps 或 CIO 那里獲得了新的安全工具。

更多的用戶體驗復雜性和更多的警報：更多的工具、更多的數據、更多的移動部件導致安全團隊在領先于攻擊者方面面臨更大的阻力。他們面臨著額外的集成和配置工作，以及成為專家的新用戶體驗，因為他們從一個轉向另一個以追捕威脅。根據2023 年 IBM 全球安全運營中心研究，接受調查的 SOC 專業人員表示，他們在典型的工作日內只審查了 49% 的警報，其中近三分之二是低優先級或誤報。此外，81% 的受訪者表示，人工調查拖慢了他們的速度——這是威脅響應時間最常見的拖累。

最后，成本越來越成為決策的一個因素。所有組織都在尋找通過利用現有投資和利用“包含”的功能以及提高團隊生產力來控制成本的方法。不幸的是，呈指數級增長的數據量、額外的安全工具以及具有復雜且昂貴的許可模型的傳統工具正在帶來巨大的阻力。

毫不奇怪，63% 的組織尋求提高其安全運營中心的檢測和響應能力。

混合云現代化 SOC 所需的 DNA

為了應對這些挑戰，我們需要重新思考一些推動我們做出今天的決定的優先事項。

首先，我們需要針對分析師體驗進行設計。從歷史上看，我們的行業一直非常受工具驅動，這在當時是重中之重。但現在我們需要關注我們的團隊、他們的生產力和工作滿意度。我們需要降低他們必須處理的 UX 復雜性（多樣性、語言、詞匯）。

其次，我們需要利用內置的人工智能、自動化和專業知識來擴大我們今天安全團隊中的專家和英雄。你知道那些——他們只是讓一切正常，他們可以在所有復雜的基礎設施中追蹤威脅。當需要緊急行動和答案時，他們是您所依賴的。自動化和人工智能是實現這一目標所需的核心。支持 AI 的技術可以為分析師完成繁重的工作，支持從威脅調查到建議的補救措施的一切工作。根據IBM 商業價值研究院的數據，采用 AI 可以顯著減少網絡安全事件的檢測天數和調查時間，分別減少多達 50% 和 29% 。

最后，我們需要啟用開放系統和社區協作。云世界的現實是，安全性將跨多個系統聯合起來。組織需要選擇他們將利用哪些安全系統，而這種方式不會增加復雜性或給他們的團隊帶來專有生態系統和內容的負擔。促進協作集成和威脅檢測內容的開放標準越來越成為絕對必要的。根據 SANS Institute 的數據，66% 的受訪安全團隊表示他們正在優先考慮集成以幫助改善他們的安全運營。

宣布推出 IBM Security QRadar Suite

15 年來，QRadar 一直是市場領先的 SIEM，在NDR、UEBA、AI（Watson for Cyber ）的分析方面進行了大量創新。現在，新的IBM Security QRadar Suite已經擴展到還包括EDR /XDR 和SOAR，以及新的云原生日志分析功能 (Log Insights)，以實現經濟高效的收集、分析、可視化和超快速搜索云規模和輕松的數據。將這些功能統一到一個單一的模塊化平臺上，實現逐步采用，為用戶提供一個完整的 TDIR 系統。隨著每個解決方案的采用，它會在幾乎沒有增量培訓或集成的情況下為分析師體驗增加功能、上下文、洞察力和自動化。除了支持安全團隊所需的所有核心功能外，新的 QRadar Suite還專門圍繞我們之前討論的保護混合云的現代化 SOC所需的 DNA 需求而設計：

開放系統和社區協作

新的 QRadar Suite 不僅建立在一個開放的混合云平臺 (OpenShift) 上，該平臺支持云原生的彈性、彈性架構以及選擇在何處和如何（例如，許可軟件或 SaaS），而且還在整個過程中利用開放標準。

例如，QRadar Suite 中的所有產品都支持關聯來自第三方的安全發現以及聯合搜索，使組織能夠利用他們今天擁有的工具并選擇他們將來使用的工具，所有這些都無需移動他們的數據. 該套件還在威脅檢測、調查和響應中原生利用 MITRE 和 SIGMA——使安全團隊能夠以社區的速度無縫移動，以跟上攻擊者的步伐。

內置人工智能、自動化和專業知識

該套件嵌入了人工智能和自動化創新，這些創新已被證明可以在第一年將警報和優先級排序速度平均提高 55%，響應時間平均提高8 倍，調查速度提高 60 倍。此外，該套件還包括來自 X-Force 團隊的不斷更新的威脅檢測和響應內容，以及從與全球數千家客戶合作中收集的見解。

該套件還包括一個新的創新自動化調查功能，該功能將跨多個系統自動調查警報（利用聯合搜索、威脅情報和 SIGMA），無論它來自何處，并將調查結果以及建議的響應行動匯總到一個單一的、易于使用的時間表，供分析師快速審查和執行。

專為分析師體驗而設計

QRadar Suite 圍繞統一的分析師體驗構建，可在整個 EDR/XDR、SIEM、SOAR 和安全日志管理 (SLM) 的調查、響應和威脅搜尋工作流程中協助安全分析師。這種新的統一體驗不僅適用于 IBM QRadar Suite，還適用于 40 多種第三方技術，因為它基于開放標準和聯合搜索。該體驗是與我們的安全團隊和專家一起設計的，并融入了他們的專業知識和見解，為他們帶來“什么？”、“誰？”、“哪里？”、“何時？”以及重要的“我應該做什么”接下來做什么？他們需要一個簡單易用的工作流程。

QRadar Suite 專為滿足當今和未來的安全運營和混合云環境的需求而構建，可幫助 SOC 分析師更快地做出更好的決策，同時增強他們的威脅檢測和響應能力。面對不確定性和復雜性，希望對其 SOC 進行現代化改造的組織會感到更加自信和受到支持。

編譯自：IBM securityintelligence