Подписаться
Читать в телеграм
Издание Help Net Security опубликовало свежее исследование, показывающее, что ложные срабатывания существенно ухудшают качество работы Security Operation Center (SOC), значительно увеличивая время реагирования на реальные угрозы. Это подтверждает и другой отчет, подготовленный институтом Ponemon и компанией Exabeam. Аналитика показывает, что 25% времени офицер безопасности тратит на отсеивание ложных срабатываний, на долю которых приходится более 50% всех оповещений от систем безопасности. Это означает, что каждый час аналитик тратит примерно 15 минут на их обработку.
Ложные срабатывания входят в ТОП-5 проблем, снижающих эффективность SOC. При этом 49% компаний ставят их в этом рейтинге на первое место наряду с дефицитом кадров. Правомерность этих суждений подтверждает исследование Fidelis. Оно показало, что два главных барьера на пути к качественному выявлению угроз — это нехватка времени (49%) и недостаток навыков (41%).
Автор: Ericka Chickowski
Источник: Bitdefender.ru
Алексей Мальнев
руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»
Комментарий
При оценке вклада ложных срабатываний в общие проблемы важно учитывать текущий уровень зрелости (процессов, технологий, команды) центра мониторинга и реагирования на инциденты. На первых этапах развития SOC проблема ложных срабатываний занимает почти все ресурсы команды, порой доходя до 90% всех трудозатрат на обработку инцидентов. И наоборот, качественная профилизация — настройка исключений и определение нормальных и легитимных для инфраструктуры событий, действий пользователей, трафика — может привести данный показатель к 10% и менее. Поэтому крайне важно наличие квалифицированных аналитиков с хорошим пониманием инфраструктуры и их тесное взаимодействие с ИТ. По этой причине большинство владельцев SIEM без полноценной команды SOC либо без аутсорсинга команды аналитиков коммерческого SOC/CSIRT обречены на низкоэффективный процесс поиска реальных инцидентов в потоке ложных срабатываний.