許多產品只是盡到業務或法規遵循責任,卻非真正影響安全營運Splunk Enterprise Security 提供的風險導向警示,能真正提升安全,同時清楚展示資訊安全對企業的價值
財星 100 大企業透過風險型警示改善偵測和調查
主要挑戰
這家一流金融機構所產生的大量警示,需要分析師花費大多數時間分類警示,幾乎消耗了機構中所有的分析師資源。
主要結果
這家金融服務機構善用 Splunk 大幅降低警示量,同時提高了真陽性率,並操作化 MITRE ATT&CK。
這家財星雜誌 100 大金融服務企業是美國最大的銀行機構之一,精通以負責的方式管理風險
無論是在網際網路首次成為主流時推出線上交易,或是為客戶取消帳戶費用,多年來,他們總是搶先採用顛覆傳統的想法。
此跨國機構的安全團隊負責保護公司的資訊安全狀態,使其免於遭受不必要的入侵,他們持續密切關注技術和程序轉型,強化防禦能力。在 conf18 大會上,他們遇到了一個令人印象深刻的主題:風險型警示 (RBA)。
團隊回國後,他們將落實 RBA 列為首要任務。RBA 增強機構現有的 Splunk Enterprise Security 解決方案,以「種類」為導向的新方式看待問題。這些看似微妙的思維方式和流程變化,為團隊提供了更好的方法,來收集相關的資訊安全內容,並加速處理威脅。
結果
65%
警示量減少幅度
~2x
警示精確性提高程度
更佳
複雜威脅偵測效果
這裡越來越吵了
過去資訊安全監控中心 (SOC) 是喧鬧的地方。查明違規且追求「完美」的關聯搜尋會產生太多誤報,且這不是偵測活動的有效方式。
機構中的資訊安全工程師表示:「一天內產生的 200 個警示中,只有少部分需要進一步調查,其中大部份與違反政策有關。」而問題在於,如今每當 SOC 收到海量警示時,資訊安全分析師都必須篩選所有警示,並嘗試拼湊正在發生的事情。SOC 通常缺乏有效機制來破譯資料試圖呈現的狀況。該團隊將 RBA 視為改進 SOC 內備受採納最佳實務的契機,同時也能改善其偵測、調查和複雜威脅處理能力。
大家都喜歡好案例
安全性和企業間的關係可能會更加緊密,在歷史上來說,語言在中斷連線中為極重要的一環。資訊安全工程師表示,RBA 對團隊的早期好處之一是「風險型警示允許企業和安全性使用相同的語言」。
資訊安全執業者傾向以高技術性的方式說明,這對大多數 SOC 之外的人員來說是項挑戰。風險歸因是 RBA 的核心組成部分,提供必要的通用語言,讓 SOC 和企業掌握一致狀況。資訊安全工程師表示:「以前我們在許多不同地方之間來回切換,因而使情況變得失焦又過於技術性。RBA 集中了指定使用者/對象的所有風險内容。我們現在可以向 SOC 以外的團隊,展示與使用者/對象相關的各種風險行為是如何交織在一起。」
使用架構做為指南
資訊安全分析師承受過量的警示疲勞衝擊。迫使許多分析師採用安全警示思維方式,特別著重與分類相關的活動。在 RBA 中推動重大事件的歸因,為安全分析師提供了解整個安全案例所需的背景。值得調查的内容可對應至 MITRE ATT&CK 等領先的網路安全架構中,分析師現在可花更多時間對真實威脅進行安全調查。 有了 Splunk 平台,此一流機構的團隊誤報減少,同時提高了整體偵測涵蓋範圍。
