→產品訊息

新聞中心

 

“您想要快速完成,還是想要正確執行?” :選擇您的EDR路徑?

“您想要快速完成,還是想要正確執行?” “是的。”

“為我們的業務目標提供更多幫助。”“涵蓋越來越多的端點。”“削減預算。”“在不增加員工的情況下完成所有工作。”

網路安全團隊面臨著許多相互矛盾的目標,無論是團隊內部還是高層管理人員。但是,由Forrester Consulting代表McAfee進行的2019年5月委託研究確實提出了一個好的要點:當詢問決策者來年他們優先考慮哪些端點安全目標和計劃時,最重要的兩個回應是“提高安全性”檢測能力”(87%)和“提高SOC的效率”(76%)。

不幸的是,傳統的EDR解決方案使實現這兩個目標(在某些情況下甚至是一個或另一個!)變得很困難,即使不是不可能。根據研究,EDR能力的差距為83%的企業帶來了痛苦。例如,雖然40%的企業認為威脅搜尋是一項關鍵要求,但只有29%的企業認為他們當前的EDR解決方案完全可以滿足這一需求。在更基本的層面上,有36%的人擔心其EDR解決方案無法解決所有突破的威脅,而同樣多的受訪者表示,其EDR所暴露的警報通常不相關或值得調查。

這些數字清楚地表明仍有很大的改進空間,但與此同時,這兩個目標似乎相輔相成。您將如何選擇去見他們?

方案1: 現狀

您的團隊將繼續自行使用其傳統的EDR解決方案。

您會失去效率方面的要害-根據Forrester的調查,有31%的公司表示系統是如此復雜,其初級員工缺乏在沒有高級員工的情況下進行分類和調查警報的技能。

傳統EDR解決方案輸出的警報數量將以另一種方式提高您的效率:另外31%的受訪者表示,他們的團隊努力跟上其EDR生成的警報數量。

在威脅檢測方面,您也並非一開始就獲得滿分。再次提醒您,請記住,超過三分之一的受訪者認為,即使有大量警報,也無法捕獲所有問題。

作為基準,假設您以威脅檢測為7,效率為3.5開始。
您距離實現目標還有很長的路要走。讓我們看看我們的選擇。

你想要_____嗎:

  • 添加更多工作人員
  • 插上更多軟件
  • 僱用MDR

方案2:添加更多工作人員

效率似乎是一個遙不可及的目標,您的團隊決定將精力集中在威脅檢測上。為了幫助管理警報數量,您僱用了兩名新員工。您的EDR仍然散佈著很多雜音,並且仍然無法捕獲所有內容,但是您的團隊具有稍高的分類能力和對威脅做出響應的能力。您獲得了威脅檢測點,但是查看部門預算表可以發現您的效率得分基本上是正確的。

最終得分:威脅檢測為8,效率為2。

方案3:使用更多軟件

其他企業則採取不同的策略。他們保留了傳統的EDR解決方案,但同時也採用了更多的點解決方案,以幫助發現問題所在。如果您選擇走這條路線,則威脅檢測功能將會提高……。但是在所有重複的警報,單獨的界面以及幾乎完全缺乏集成之間,您的團隊陷入了嚴重的癱瘓。由於初級人員只能對傳統EDR系統中的警報進行31%的分類,因此高級分析師不得不自己管理所有接口上的所有警報。

所有這些軟體都不便宜,並且您在所有軟體的培訓以及來回切換方面都浪費了時間。同時,本來可以提高威脅檢測能力的解決方案正在……某種程度上……但是在混亂和分析師疲倦的背景下,一切都陷入了困境,您將一無所知。

最終得分:威脅檢測7.5,效率1.5。

方案4:與MDR合作

您不想再僱用任何員工,即使您僱用了,也沒有多少人可以僱用。因此,您可以聘請受管檢測和響應(MDR)提供程序來執行您的EDR 應該做的事情,但不是。您可以找到最有信譽的MDR來與您合作,並且您有信心在您正在做的事與他們正在做的事之間,沒有多少事情會越過您。但是您也要付出兩次才能獲得一套功能。

最終分數:威脅檢測9,效率1

顯然,是時候嘗試一些新的東西了

  • 我想用當前的EDR提高效率!
  • 我想嘗試更好的東西。

方案5:使用當前的EDR提高效率

您如何提高第一代EDR的效率?你不知道 換句話說,如果您想從不使用最新技術的EDR中獲得更多收益,則只能在您的團隊中做出調整。如果您可以從相同數量的團隊成員中獲得更多的威脅檢測里程,您的效率水平自然就會提高。

初始分數:威脅檢測8,效率4

但是,正如您很快發現的那樣,強制性的深夜和“您最好加緊步伐!”的態度並不能使士氣高漲。到處都有對網絡安全專業人員的高需求,不久就可以讓至少一名團隊成員失望。現在您有4個團隊成員,而這個數字是5。這聽起來還不錯……。

中級分數:威脅檢測6,效率6

…直到有進取心的駭客注意到您的不足,並以您目標,然後希望利用您的情況為他們帶來好處。不幸的是,您不僅擁有不完善的傳統EDR系統,而且有四名員工試圖完成五項工作…您有四名心懷不滿的員工試圖完成五項工作。根據IDC的數據,在最近12個月內經歷過違規的組織中,對滿意度極高的員工平均而言比不滿意的員工(11個小時)報告更少的小時數(11個小時) )。猜猜您的團隊屬於哪個陣營?

不久之後,您的公司就因重大攻擊而屈服。媒體無處不在,對您公司的信心直線下降。貴公司的聲譽可能會恢復……最終……但是,情況看起來並不好。

最終得分:比賽結束。

方案6:我想嘗試更好的方法。

您已經從您的朋友和同事那裡聽說了哪些無效的方法。而且,當然,您已經閱讀了恐怖故事。但是您仍然有兩個不同的目標。如果有一種方法可以在不僱用更多人員的情況下提高威脅檢測能力,而不外包您的EDR應該能夠處理但不能解決的問題,或者創建一個系統比Frankenstein的怪物還要多的螺栓,該怎麼辦?

根據Forrester所說,有一種方法可以橋接實現更高效率和更好威脅檢測的目標。借助AI指導的調查,您的初級分析師將能夠像更經驗豐富的分析師一樣對威脅進行分類,使您的高級分析師可以將精力集中在關鍵任務上。而且,由於噪音減少,您的團隊將可以自由地專注於更多正確的警報。

調查受訪者對此表示支持:35%的人認為以AI指導的調查將導致更少的違規事件,而52%的人認為這將提高效率。任務完成。

最終分數:您= 1,駭客= 0。

 資料來源:https://securingtomorrow.mcafee.com/business/endpoint-security/threat-hunting-or-efficiency-pick-your-edr-path/