混合云现代化 SOC 的需求

网络安全在过去十年中取得了很大进步。改进的标准（例如 MITRE）、威胁情报、流程和技术极大地帮助提高了可见性、自动化信息收集 (SOAR) 和许多手动任务。此外，新的分析 (UEBA/SIEM) 和端点 (EDR) 技术可以检测并经常阻止整类威胁。现在，我们看到了攻击面管理 ( ASM )等技术的出现，这些技术开始帮助组织变得更加主动并集中精力以获得最大影响。

然而，向云的迁移和攻击面的相关扩展现在大大增加了环境的复杂性。2022 年IBM Security X-Force 云威胁态势报告发现，混合云环境的持续扩展对安全团队来说是一项重大挑战。X-Force 观察到新的云漏洞与前一年相比增加了 28%。此外，在云环境中运行的易受攻击的面向公众的应用程序已成为攻击者的常见目标，组织可能难以对环境中运行的所有应用程序进行编目以确保所有应用程序都已打好补丁。

这反过来会导致三件事发生：

1. 更多数据：需要收集更多安全遥测数据以提供必要的可见性。由于大多数此类数据是在云平台中生成的，因此增加了成本和复杂性，尤其是在云之间转移数据并非免费的情况下。

2. 更多工具：部署和使用更多安全工具来为新的云基础设施（例如，CWPP、ITDR、CDR 等）提供保护、可见性和响应。在许多情况下，出于权宜之计（“嘿，这适用于技术 X”）或出于财务原因（“嘿，这对云 Y 是免费的”），安全团队确实从 DevSecOps 或 CIO 那里获得了新的安全工具。

3. 更多的用户体验复杂性和更多的警报：更多的工具、更多的数据、更多的移动部件导致安全团队在领先于攻击者方面面临更大的阻力。他们面临着额外的集成和配置工作，以及成为专家的新用户体验，因为他们从一个转向另一个以追捕威胁。根据2023 年 IBM 全球安全运营中心研究，接受调查的 SOC 专业人员表示，他们在典型的工作日内只审查了 49% 的警报，其中近三分之二是低优先级或误报。此外，81% 的受访者表示，人工调查拖慢了他们的速度——这是威胁响应时间最常见的拖累。

最后，成本越来越成为决策的一个因素。所有组织都在寻找通过利用现有投资和利用“包含”的功能以及提高团队生产力来控制成本的方法。不幸的是，呈指数级增长的数据量、额外的安全工具以及具有复杂且昂贵的许可模型的传统工具正在带来巨大的阻力。

毫不奇怪，63% 的组织寻求提高其安全运营中心的检测和响应能力。

混合云现代化 SOC 所需的 DNA

为了应对这些挑战，我们需要重新思考一些推动我们做出今天的决定的优先事项。

首先，我们需要针对分析师体验进行设计。从历史上看，我们的行业一直非常受工具驱动，这在当时是重中之重。但现在我们需要关注我们的团队、他们的生产力和工作满意度。我们需要降低他们必须处理的 UX 复杂性（多样性、语言、词汇）。

其次，我们需要利用内置的人工智能、自动化和专业知识来扩大我们今天安全团队中的专家和英雄。你知道那些——他们只是让一切正常，他们可以在所有复杂的基础设施中追踪威胁。当需要紧急行动和答案时，他们是您所依赖的。自动化和人工智能是实现这一目标所需的核心。支持 AI 的技术可以为分析师完成繁重的工作，支持从威胁调查到建议的补救措施的一切工作。根据IBM 商业价值研究院的数据，采用 AI 可以显着减少网络安全事件的检测天数和调查时间，分别减少多达 50% 和 29% 。

最后，我们需要启用开放系统和社区协作。云世界的现实是，安全性将跨多个系统联合起来。组织需要选择他们将利用哪些安全系统，而这种方式不会增加复杂性或给他们的团队带来专有生态系统和内容的负担。促进协作集成和威胁检测内容的开放标准越来越成为绝对必要的。根据 SANS Institute 的数据，66% 的受访安全团队表示他们正在优先考虑集成以帮助改善他们的安全运营。

宣布推出 IBM Security QRadar Suite

15 年来，QRadar 一直是市场领先的 SIEM，在NDR、UEBA、AI（Watson for Cyber ）的分析方面进行了大量创新。现在，新的IBM Security QRadar Suite已经扩展到还包括EDR /XDR 和SOAR，以及新的云原生日志分析功能 (Log Insights)，以实现经济高效的收集、分析、可视化和超快速搜索云规模和轻松的数据。将这些功能统一到一个单一的模块化平台上，实现逐步采用，为用户提供一个完整的 TDIR 系统。随着每个解决方案的采用，它会在几乎没有增量培训或集成的情况下为分析师体验增加功能、上下文、洞察力和自动化。除了支持安全团队所需的所有核心功能外，新的 QRadar Suite还专门围绕我们之前讨论的保护混合云的现代化 SOC所需的 DNA 需求而设计：

开放系统和社区协作

新的 QRadar Suite 不仅建立在一个开放的混合云平台 (OpenShift) 上，该平台支持云原生的弹性、弹性架构以及选择在何处和如何（例如，许可软件或 SaaS），而且还在整个过程中利用开放标准。

例如，QRadar Suite 中的所有产品都支持关联来自第三方的安全发现以及联合搜索，使组织能够利用他们今天拥有的工具并选择他们将来使用的工具，所有这些都无需移动他们的数据. 该套件还在威胁检测、调查和响应中原生利用 MITRE 和 SIGMA——使安全团队能够以社区的速度无缝移动，以跟上攻击者的步伐。

内置人工智能、自动化和专业知识

该套件嵌入了人工智能和自动化创新，这些创新已被证明可以在第一年将警报和优先级排序速度平均提高 55%，响应时间平均提高8 倍，调查速度提高 60 倍。此外，该套件还包括来自 X-Force 团队的不断更新的威胁检测和响应内容，以及从与全球数千家客户合作中收集的见解。

该套件还包括一个新的创新自动化调查功能，该功能将跨多个系统自动调查警报（利用联合搜索、威胁情报和 SIGMA），无论它来自何处，并将调查结果以及建议的响应行动汇总到一个单一的、易于使用的时间表，供分析师快速审查和执行。

专为分析师体验而设计

QRadar Suite 围绕统一的分析师体验构建，可在整个 EDR/XDR、SIEM、SOAR 和安全日志管理 (SLM) 的调查、响应和威胁搜寻工作流程中协助安全分析师。这种新的统一体验不仅适用于 IBM QRadar Suite，还适用于 40 多种第三方技术，因为它基于开放标准和联合搜索。该体验是与我们的安全团队和专家一起设计的，并融入了他们的专业知识和见解，为他们带来“什么？”、“谁？”、“哪里？”、“何时？”以及重要的“我应该做什么”接下来做什么？他们需要一个简单易用的工作流程。

QRadar Suite 专为满足当今和未来的安全运营和混合云环境的需求而构建，可帮助 SOC 分析师更快地做出更好的决策，同时增强他们的威胁检测和响应能力。面对不确定性和复杂性，希望对其 SOC 进行现代化改造的组织会感到更加自信和受到支持。