云安全发展的挑战与机遇

关键要点

安全自动化对于应对动态威胁至关重要，然而实施过程中仍面临人才短缺和过度自动化等问题。Sumo Logic致力于简化安全操作工作流，将SIEM与SOAR整合，减少团队的操作负担。新的SOAR框架允许客户通过聊天工具直接利用问答和聊天功能，从而提升用户体验。CISO面临工具整合和团队效率等多重挑战，Sumo Logic通过聚合SIEM与SOAR来应对这些问题。

在安全领域内，“命名的冒险”反映了安全技术的演变，而云服务商的挑战在于提供功能，同时实现自动化和简化平台使用，Sumo Logic的安全产品副总裁Rhett Dillingham表示。

Dillingham在RSA会议上与Enterprise Security Weekly的主持人Adrian Sanabria探讨了相关话题。

他指出，Sumo Logic的历史一直是简化日志传输、获取初始价值并尽可能实现自动化。作为云服务商，他们的目标是使平台“自助服务适应”。

解决自动化中的人力问题

Sanabria观察到，安全自动化已成为一个热门话题，因为威胁性质的动态变化和公司人力资源短缺的挑战。一项额外的问题是与产品相关的开销。

尽管自动化带来许多好处，但仍需有人负责创建自动化流程、确保平台正常运作、进行监控、修复故障并处理API等问题。

他补充道，自动化的实现可能令人感到焦虑。

Dillingham则表示，Sumo Logic的目标是减轻安全堆栈的管理操作，让团队能够从中提取更多价值。

“随着团队从数据收集到检测、再到调查响应处理整个安全操作工作流，许多时候会过度集中在调查响应环节。”他表示。因此，Sumo Logic专注于“尽可能自动化，并通过集群化事件来进行调查”，进而形成“精炼的真实正警报”。

Dillingham指出，安全团队的目标是能够轻松地将信息汇入平台。上周，Sumo Logic宣布已经将其云SOAR产品的工作流自动化功能与SIEM整合，旨在为实现“完整SOAR采纳”提供一个过渡平台。

他解释道，利用集群实体关系对调查进行分类后，便可以在警报中自动化丰富内容，之后还可进行精炼和自动化通知。

SOAR与SIEM的对比

两人讨论了SOAR和SIEM的特点，Dillingham指出，这些特征在安全操作领域的定义方式使得将多种技术归纳在一起，导致某些企业难以接触到这些能力。

Sumo Logic的目标是让逐步采用和使用这些技术的过程变得更加简单，无论SIEM和SOAR的术语如何。他表示，“这都是为了安全操作的平台”。

快喵加速器app

Dillingham还提到，采用SOAR技术的一个重要顾虑是，过度自动化可能超出组织文化的承受范围，尤其是在自动化响应方面。

他认为，应该尽可能自动化工作，以提高效率，然后再逐步进入响应阶段，使其成为一种效率提升的迭代过程。

大语言模型与ChatGPT

Sumo Logic最近还将其SOAR框架与客户选择的聊天工具进行了集成。这使得客户能够直接利用问答和聊天能力。

他表示，平台从多种来源收集数据和警报或原始数据，使得用户可以轻松获取该技术的常见补救方法。

但是，Dillingham指出，是否信任来自ChatGPT的信息，这仍然是组织层面的决定。

CISO面临的挑战

Dillingham提到，工具整合已经成为CISO面临的一大痛点。此外，团队的效率和有效性也是重要问题。

这正是为什么Sumo Logic聚合SIEM与SOAR并建立两者之间桥梁，以应对工具泛滥导致的警报整合难题。

作者：Esther Shein