2018年06月01日
如今,許多安全運營中心(SOC)都在面臨著同樣的困境——警報太多,而處理它們的人員卻又太少。隨著時間的推移,這種問題將會變得更加嚴重,因為生成警報的設備數量的增長速度,要遠遠快于可用于分析它們的人員數量的增長速度。如此一來,真正重要的警報可能就會淹沒其中,得不到響應。
大多數企業認為應對這個問題只有兩種解決方案:即減少警報數量,或是增加人員數量。幸運的是,還有第三種選擇:自動化。它可以極大地提高分析師的時間效率,用更少地時間完成更多的工作量。
傳統意義上,人們習慣將自動化視為“不全則無”(all-or-nothing)的主張。但是,如今時代已經發生了變化。企業可以在事件響應過程中的各個位置實施自動化,幫助分析人員從繁復的任務中解脫出來,同時保持他們對警報監視和響應的人為控制。其最終目標應該是,在自動化可以處理的低風險和人為應對的高風險之間取得平衡。
但是,在部署某種程度的SOC自動化之前,應該認真考慮以下幾點問題:1)組織是贏了還是輸了網絡戰爭?2)如果是贏了,它是否具備正確的工具來持續這種狀態?3)如果是輸了,它應該怎么做?
不過,無論組織是贏了還是輸了網絡戰爭,理解自動化的優缺點對于任何項目的成功與否都是至關重要的。
一、自動化的優點
自動化在低影響(low-impact )環境中通常備受青睞,但是由于誤報可能導致的負面影響,其在諸如公用事業和醫療保健等高影響(high-impact)環境中一直備受質疑。
SOC自動化的主要優點包括:
對警報和ticket的響應更一致;
對于ticket關閉和事件響應量更大;
提高對正在發生問題的可視性;
覆蓋面積更大,ticket數量更多。
二、自動化的缺點
沒有什么比處理假陽性(即誤報)更令人煩惱的了,所謂假陽性就是系統將合法活動標識為惡意攻擊行為。在某些行業中,誤報會破壞業務流程,造成收入損失、工業組織停工等后果,在醫院環境中,這種誤報甚至會危及生命。
SOC自動化的主要缺點包括:
關閉操作;
產生誤報,導致采取錯誤的舉措;
自動化處理本該手動處理的 ticket;
關鍵信息或數據丟失;
做出錯誤或不恰當的決定。
三、自動化的最佳實踐
過去,公司通常會因為考慮到自動化的潛在缺點,而最終選擇放棄它,因為他們認為這樣做更安全。然而,如今,越來越多的企業已經意識到,如果他們沒有實現某種程度的自動化,會增加其錯失標記攻擊行為的機會,這種情況所造成的損失,可能會比實施自動化所帶來的潛在負面影響更為沉重。
鑒于這種情況,安全從業人員應該考慮采用以下自動化最佳實踐措施:
1. 創建一個全面的戰略
該計劃應該旨在解決以下關鍵問題:
哪些區域產生的警報最多?
什么樣的警報類型占據了分析師大部分的時間?
哪些響應是非常有條理的,以及哪些警報分析師可以用可預測的方式做出響應?
是否可以使用自動化劇本(playbook)來處理某些事件?
2. 采取一種經過實測的方法
安全的關鍵規則之一就是始終避免極端事件。例如,“自動化一切”可能會招致一堆蠕蟲,然后迫使安全管理人員通過指責分析師來證明這一做法是正確的,他們會聲稱是由于分析師來不及分析ticket才導致的問題。
通過自動化人力密集型、高度重復型任務來實現平衡,將分析師從繁復的任務中解放出來,有精力實現更為重要的職能,這是一個非常好的起點。自動化應該允許公司提高SOC效率,同時保持可接受的風險水平——無論是在運營方面還是安全方面。
訣竅在于管理和控制誤報,而不是妄圖消除誤報。
3. 了解不需要自動化而需要人工分析的任務
其主要包括影響如下系統的警報:
關鍵應用程序或系統;
業務流程、財務和運營系統;
包含大量敏感數據的系統;
大規模攻擊指標。
四、結論
由于網絡攻擊對手也在利用軟件和硬件來開發和實施攻擊,威脅的演變速度和復雜性正在急劇上升,對于SOC自動化的需求也在隨之增長。想要跟上程序化攻擊的步伐,不可避免地需要自動化某些SOC功能和流程。遵循上述列出的建議,可以幫助確定應該自動化和不應該自動化的內容,以便發揮自動化的最大功效。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。