看看這7項安全工作你自動化了沒有
各個行業都開始認識到了自動化的價值,意識到了在自身安全基礎設施中實現自動化的必要性。然而,除了能快速行動和節約員工時間,公司企業對自動化有用性的認識卻還不足夠。
自動化不僅僅是將簡單的人類操作變成機器的自動過程,公司企業有各種各樣的方式可以從投資自動化工具中獲益,比如能自動化應用到事件響應和事件管理生命週期很多方面的安全編排、自動化及響應(SOAR)解決方案。
公司企業想要節約事件響應及安全調查流程中寶貴的時間,改善公司整體網路安全態勢,就應自動化以下7個過程。
1. SIEM升級
安全警報來自很多來源,但大企業中,大多數事件起於SIEM。從SIEM到SOAR的過濾過程可以通過自動化警報升級的標準來增強。將精心挑選的升級規則與自動化情報收集結合,分析師便可專注重大事件,且能獲得完整的上下文,而不用每天忙於從成百上千的警報中篩選出真正的威脅。
2. 信譽查詢
通過自動化節省時間的最大機會,就是收集上下文資料以幫助分析師評估威脅。比如說,如果一封郵件被標記為潛在網路釣魚嘗試,SOAR平臺可自動查詢郵件中URL的信譽,檢查該域名擁有者的地理位置,調查與已知攻擊者的連線等等。如果沒有自動化,分析師就不得不轉到其他應用,手動查詢這些資訊,有時候一天之中這種被迫手動查詢的行為甚至會多達上百次。
3. 風險評分
承接升級與豐富事件的過程,SOAR平臺還可以再加一層自動化以幫助分析師快速確定需投以關注的事件。通過參照自定義的標準比較威脅情報、連結分析和其他上下文資料以產生風險評分,自動化可被用於將事件以正確的優先順序分配給合適的分析師,比如將誤報率高的事件挪到事件佇列尾部。
4. 封鎖使用者
自動化最有益的應用之一就是比人類分析師更快動作。這在限制事件影響上非常有用。可通過自動化加速的安全動作的例子中包括禁用與事件有關的使用者許可權。如果某使用者賬戶被標記為有可疑行為,比如在非正常時間登入或試圖訪問敏感系統,立即禁用該賬戶是防止資料洩露的最佳機會。
5. 指導調查
以上都是自動化的常見用例,但還有些不那麼為人所知的用法,比如用自動化來引導調查人員執行調查流程。制定手冊並內建自動化步驟很常見,但自動化還可應用到深度調查中以保證調查人員不走偏。這一點對經驗等級組成涵蓋很廣的團隊就很有用,因為內部經驗、行業最佳實踐以及地區性合規要求都可以構建到調查工作流中。這麼做可以確保即便調查人員不熟悉不同司法轄區或不同事件型別的要求,也能採取正確的步驟。
6. 報告閾值
經理、高管和其他利益相關者需擁有安全過程可見性,但安全團隊的時間精力不應該花在填寫併發送常規報告上。利用自動化,便可以設定觸發報告的閾值,比如有太多待處理事件或者有人錯過了重要的截止期時。
7. 通知與任務分配
自動化不僅僅是加快動作,還可以用於協調安全團隊的人力與過程。與設定自動化報告閾值類似,自動化工具可被用來設定自動化通知與任務分配的標準。比如說,有待完成任務或截止期臨近等情況都可以自動向分析師傳送通知,或者如果有需經審批的任務也可以自動分配給法律團隊處理。
總結
與其他任何工具一樣,自動化也應審慎應用。自動化顯然能給安全團隊帶來價值,但該價值的大小完全取決於你的自動化方式貼合你首要需求、現有安全基礎設施及組織程式的程度。以上僅僅是自動化應用的一些樣例,業界創新發展如此之多如此之快,完全可以花點時間思考還有哪些自動化過程可以為你的公司帶來價值。