如何扫清实现安全自动化的障碍
发布日期:2023-02-06      作者:       来源:      分享:

扫清实现安全自动化的障碍

安全自动化的实现,这个方面阻碍了很多企业的脚步。事实上,近期一项调查发现,尽管对安全自动化的信任有所增加,技术却是采用安全自动化的头号障碍。在推特调查中,佛瑞斯特研究所高级分析师 Allie Mellen 询问采用安全编排、自动化与响应(SOAR)的团队平时使用多少剧本,有三分之二的受访团队回答 5~10 个或更少。在相关博客文章中,Allie 将此结果与手动流程自动化的限制相联系。 

SOAR 剧本重在自动化整个流程。所以,想要实现就得为每个剧本定义和记录复杂的决策树,并往安全运营中心(SOC)引入具备编程技术的分析师来定制和标准化实现。此外,为适应威胁态势和环境的变化,还得手动更新流程驱动的剧本。而随着剧本数量的增长,复杂性也在增加,手动更新是无法持续的。安全团队将所用剧本的数量限制在个位数,因此并没有真正发挥这些工具的全部价值。

实现安全自动化可能颇费工夫,所以其秘诀在于采用数据驱动而非流程驱动的方法,将自动化分解为更小的部分。这类似于滚雪球。从一个坚实的核心开始,一点一点裹上雪压实,最终形成大雪球。如果一下子堆太多,反而容易四分五裂。同样,在安全自动化实现上,如果我们从正确的核心架构开始,并且考虑周到 —— 从小处着手并逐渐铺开,那我们就能收获更多价值。

下列三条建议可能有所帮助:

1、重视互操作性。以开放架构而非封闭架构标准化网络安全自动化平台,从而最大限度地确保各种安全工具的互操作性和可扩展性。如果采用不同语言和格式的各个系统和数据源都能相互通信,你就能全面了解自己面对的威胁,知道自己必须防御什么。采用正确的架构,便能自动往中央存储库中聚合来自适用工具的恰当数据,转向数据驱动型方法来推动离散任务的自动化。这也会确保打下坚实的基础,方便协同扩展检测与响应(XDR)等新兴方法。

2、谨记上下文为王。现在你就可以开始在基本用例上应用自动化了,比如本就可以提供巨大价值的数据上下文化等基本用例。可以使用所订阅的多个数据源(商业、开源、政府、行业、现有安全供应商),以及 MITRE ATT&CK 等框架的威胁数据,来自动扩充和丰富内部数据。结合并关联内部及外部数据便可获得上下文,帮助了解与自家企业相关的内容。例如,假设某高管收到一封疑似鱼叉式网络钓鱼的电子邮件。你可以自动将源 IP 与外部威胁情报相关联,从而连点成线,更快确定是否需要进一步的分析和动作。 

3、选择正确用例。可以基于这些上下文化的数据来扩展安全自动化实现,根据所选用例和所设触发器及阈值来添加离散任务。继续上面的鱼叉式网络钓鱼例子,推进到 XDR 领域,下一步可以是应用自动评分框架。如果该电子邮件具有高威胁评分指标,你可以立即采取行动,比如将这些指标发往端点检测与响应(EDR)解决方案加以阻止。或者,在安全信息与事件管理(SIEM)中查询这些指标,查看是否还有其他相关事件。每个原子级操作都是独立的,因此,定义、执行和维护都简单而快速。 

鱼叉式网络钓鱼分析只是其中一个可能的用例。威胁情报管理、事件响应、警报分类、漏洞管理和威胁捕捉等其他常见用例也经过验证,可以节省时间和提高安全规程的有效性,展现安全自动化的价值。 

实现环节仍旧是采用安全自动化的一个障碍。不过,企业可以从开放式架构开始,专注获取正确的数据进行分析,并有条不紊地分块应用自动化,从而改变这种状况。综合上述步骤解决关键用例,我们最终会得到数据驱动的直观剧本,可以确保各项动作卓有成效,保证有信心扩大自动化应用范围,逐渐为公司带来更大价值。这不是增加复杂性,而是我们可以跟进的 “滚雪球效应”。

————————————————

原文作者:数世咨询

转自链接:https://www.wangan.com/p/11v7228fbd2f0fb1

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。


友情链接:

返回软协官网首页

通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室     邮政编码:100080

电话:010-62565314 刘莉    京ICP证16064523号-2    版权所有:北京软件和信息服务业协会

技术支持:中科服    内容支持:鑫网安

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.