2018年11月06日
各個行業都開始認識到了自動化的價值,意識到了在自身安全基礎設施中實現自動化的必要性。然而,除了能快速行動和節約員工時間,公司企業對自動化有用性的認識卻還不足夠。
自動化不僅僅是將簡單的人類操作變成機器的自動過程,公司企業有各種各樣的方式可以從投資自動化工具中獲益,比如能自動化應用到事件響應和事件管理生命周期很多方面的安全編排、自動化及響應(SOAR)解決方案。
公司企業想要節約事件響應及安全調查流程中寶貴的時間,改善公司整體網絡安全態勢,就應自動化以下7個過程。
1. SIEM升級
安全警報來自很多來源,但大企業中,大多數事件起于SIEM。從SIEM到SOAR的過濾過程可以通過自動化警報升級的標準來增強。將精心挑選的升級規則與自動化情報收集結合,分析師便可專注重大事件,且能獲得完整的上下文,而不用每天忙于從成百上千的警報中篩選出真正的威脅。
2. 信譽查找
通過自動化節省時間的最大機會,就是收集上下文數據以幫助分析師評估威脅。比如說,如果一封郵件被標記為潛在網絡釣魚嘗試,SOAR平臺可自動查找郵件中URL的信譽,檢查該域名擁有者的地理位置,調查與已知攻擊者的連接等等。如果沒有自動化,分析師就不得不轉到其他應用,手動查找這些信息,有時候一天之中這種被迫手動查找的行為甚至會多達上百次。
3. 風險評分
承接升級與豐富事件的過程,SOAR平臺還可以再加一層自動化以幫助分析師快速確定需投以關注的事件。通過參照自定義的標準比較威脅情報、鏈接分析和其他上下文數據以產生風險評分,自動化可被用于將事件以正確的優先級分配給合適的分析師,比如將誤報率高的事件挪到事件隊列尾部。
4. 封鎖用戶
自動化最有益的應用之一就是比人類分析師更快動作。這在限制事件影響上非常有用。可通過自動化加速的安全動作的例子中包括禁用與事件有關的用戶權限。如果某用戶賬戶被標記為有可疑行為,比如在非正常時間登錄或試圖訪問敏感系統,立即禁用該賬戶是防止數據泄露的最佳機會。
5. 指導調查
以上都是自動化的常見用例,但還有些不那么為人所知的用法,比如用自動化來引導調查人員執行調查流程。制定手冊并內建自動化步驟很常見,但自動化還可應用到深度調查中以保證調查人員不走偏。這一點對經驗等級組成涵蓋很廣的團隊就很有用,因為內部經驗、行業最佳實踐以及地區性合規要求都可以構建到調查工作流中。這么做可以確保即便調查人員不熟悉不同司法轄區或不同事件類型的要求,也能采取正確的步驟。
6. 報告閾值
經理、高管和其他利益相關者需擁有安全過程可見性,但安全團隊的時間精力不應該花在填寫并發送常規報告上。利用自動化,便可以設置觸發報告的閾值,比如有太多待處理事件或者有人錯過了重要的截止期時。
7. 通知與任務分配
自動化不僅僅是加快動作,還可以用于協調安全團隊的人力與過程。與設置自動化報告閾值類似,自動化工具可被用來設置自動化通知與任務分配的標準。比如說,有待完成任務或截止期臨近等情況都可以自動向分析師發送通知,或者如果有需經審批的任務也可以自動分配給法律團隊處理。
總結
與其他任何工具一樣,自動化也應審慎應用。自動化顯然能給安全團隊帶來價值,但該價值的大小完全取決于你的自動化方式貼合你首要需求、現有安全基礎設施及組織程序的程度。以上僅僅是自動化應用的一些樣例,業界創新發展如此之多如此之快,完全可以花點時間思考還有哪些自動化過程可以為你的公司帶來價值。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。