【不求人】SOAR自動化解難 網絡安全專才功力加强

    到底網絡安全專才有多渴市?先跟大家分享一些數據。根據去年網絡安全機構 ISC2發表的一份調查報告顯示,65%企業或機構缺乏網絡安全專才。報告同時估計,大約需要 407 萬個網絡安全專才,才可以滿足全球企業或機構的需求,但實際上現時只得 280 萬個,反映專才嚴重不足。另一份 IT 行業薪酬調查報告亦顯示,香港的網絡安全專才收入相對較同行高外,亦預期每年可有 30% 增幅,相當有「錢」途。

    無盡警報拖垮網絡安全

    由此可見,企業或機構管理者正身陷極大窘境,既難以聘請足夠的專才處理網絡安全問題,另一方面亦擔心員工被挖角,導致網絡安全系統無人管理。事實上,企業高薪聘請網絡安全專才,原本是為了制定更完善的安全政策、定期審核安全架構的合規性等高層次工作,偏偏卻被繁瑣的日常工作所誤,例如一大堆由網絡安全系統發出的警報要處理,需要評估有否誤報、事件嚴重性、調查網絡攻擊手法、影響範圍、選擇處理問題的系統、上報處理建議並等待審批⋯⋯特別是現時不少企業採用混合雲架構,每天從公司內部、網絡、雲端應用匯集的數據極為龐大,警報數量同時大增,不單霸佔網絡安全專才大部分工作時間,令他們無暇進行更重要的工作,有報告更估計,50%安全威脅更會因此而遭忽視,令企業被攻擊的風險大增。

    處理事件因人而異

    面對著複雜的企業架構及龐大的數據流量,傳統的防毒軟件,或安全資訊及事件管理系統(Security Information and Event Management, SIEM)已不足以解決問題,因為 SIEM 旨在分析來自企業所有 IT 資源的訊息及事件資訊,如發現異常,系統便會發出安全警報,最後仍須交由網絡安全專才管理。而就著同一類型警報,分析及處理手法亦會因個人經驗而異,無法對處理結果作有效評估,成為日後處理同一事件的指標。換言之,即使是再簡單的問題,專才仍須大量執行重複性工作;一旦專才離職,在全球人才荒的環境下,企業更有可能處於網絡安全真空的險境。

    人工智能紓緩專才斷層

    網絡保安協調、自動化和回應(Security Orchestration, Automation and Response, SOAR)新世代防護工具,可說是紓緩上述問題的最佳方法。SOAR 的運作原理是將公司內部、網絡、雲端應用匯集的數據,全部集中在同一介面處理,以更宏觀角度分析從各平台發出的警報,通過人工智能(Artificial Intelligence, A.I.)及機器學習(Machine Learning)技術,判斷是否誤報,以及評估威脅的嚴重性作分流排序,分析整個事件的來龍去脈, 並按照預先設定的應變劇本(Playbook)自動回應事件。此外,SOAR 工具還可定期進行安全審計,從多方面減少網絡安全專才的工作負擔,讓他們可以執行更重要的工作。自動化工具更可令整個操作流程變得標準化及可量度,不受專才的技術能力差別影響,企業便不用擔心專才離職問題動搖網絡安全性。去年同一份調查估計,SOAR 工具將會愈來愈受企業重視,市場將由 2019 年的 8.68 億美元,增長至 2024 年的 17.91 億美元。

    智選托管服務 全年無「憂」

    HKT 為本地各行企業及機構提供網絡安全解決方案多年,最新推出的 24/7 全年無休 SOAR托管服務(Managed SOAR Service),其自動化回應功能,可助企業客戶紓解網絡安全專才不足的問題。當客戶在採用Managed SOAR 服務後,我們的網絡安全專家會為其設計合適的應變劇本,結合HKT本地和環球網絡安全威脅情報,可以令每件安全事件由原來平均需 28 個人手處理程序及 6.5 小時回應時間,大幅縮減至最少2個程序,其餘 20 多個程序均變成自動化及半自動化處理,回應時間亦低至半小時。透過先進的人工智能及機器學習能力,HKT 的Managed SOAR 能準確抓捕精密的網絡攻擊,包括零時差攻擊(Zero Day Attack)及無檔案攻擊(Fileless Attack)等。同時由於是雲原生(Cloud Native)解決方案,由設計以至部署運行都針對著雲端架構而開發,容器化技術可輕易跟企業現正使用的安全系統整合及協調,將統一的自動化回應標準應用於各平台,毋須再由網絡安全專才逐一調整。

    此外,HKT的本地網絡安全專才根據不同的網絡安全事件和本地及環球威脅情報預先設定Playbook,有助企業快速回應及處理安全事件。加上網絡安全專才具備不同範疇的國際標準安全認證資格,能隨時支援不同行業的企業及機構需要,同時制定更符合客戶業務範疇的自動化定期合規審計程序,管理者就毋須再為聘請網絡安全專才而憂心,可以全力發展業務,運籌帷幄。

    (Article sponsored by HKT)