千萬不要低估SOAR
責(zé)編:gltian |2018-09-28 11:05:17將安全分析師與不同安全產(chǎn)品的交互加以編排和自動化,能獲得很高的投入回報。
200多年前的工業(yè)革命以來,自動化就在人類社會中扮演著重要角色。今天,自動化已與我們的日常生活密不可分,從支付賬單到制作咖啡,再到控制室溫,都要用到自動化技術(shù)。自動化的重點在于減少人類花費在繁瑣重復(fù)性勞動上的時間,以便挪出更多時間去從事高價值的活動。
每個行業(yè)都有自動化的空間,安全行業(yè)也不例外。安全人員幾十年前就在談?wù)撟詣踊瘑栴},但因為一系列原因,至今尚未完全擁抱自動化技術(shù)。不過,過去幾年中,我們開始迎來一些改變。隨著安全編排、自動化及響應(yīng)(SOAR)的出現(xiàn)與發(fā)展,自動化如今開始扎根生長了。
Gartner是SOAR這個術(shù)語的締造者和推廣者。很多安全供應(yīng)商正涌入SOAR市場,其中很多關(guān)注的是事件響應(yīng)(IR)戰(zhàn)術(shù)手冊的自動化。每個公司的安全團隊都應(yīng)將縮短平均響應(yīng)時間(MTTR)作為重中之重來抓,這點毫無疑問。但SOAR的涵蓋范圍遠(yuǎn)不止如此。防御者不應(yīng)自我設(shè)限到僅自動化戰(zhàn)術(shù)手冊上。安全運營中還有很多其他活動能受益于自動化和編排。比如以下幾個例子。
1. 檢測威脅更快速
安全有效性的重要衡量指標(biāo)之一,就是安全運營檢測威脅的速度。但平均檢測時間(MTTD)削減個十來分鐘或1小時意義不大,因為很多公司往往幾個星期甚至幾個月都找不出潛藏在自己網(wǎng)絡(luò)中的威脅。波耐蒙研究所的《2018數(shù)據(jù)泄露損失報告》將MTTD定位在197天上。即使僅縮減5%-10%的檢測時間,也意味著能提早1星期甚至更多天來發(fā)現(xiàn)數(shù)據(jù)泄露事件——減少黑客可用于搞破壞的時間并降低數(shù)據(jù)泄露的損失。事實上,調(diào)查研究表明,能在100天之內(nèi)發(fā)現(xiàn)數(shù)據(jù)泄露的公司企業(yè),比發(fā)現(xiàn)時間超過100天的那些,要少損失100萬美元以上。
為更快發(fā)現(xiàn)威脅,公司企業(yè)采用了各種各樣的威脅情報產(chǎn)品。但有時候這些解決方案并不會主動推送數(shù)據(jù),而是需要輪詢。而且,產(chǎn)出的數(shù)據(jù)格式也各異。將所有威脅情報快速統(tǒng)一成某種可用的格式,可以削減MTTD。將安全運營的這一方面加以自動化,便可加速檢測與調(diào)查,以便了解哪些東西面臨風(fēng)險,如果風(fēng)險等級較高,還可確定風(fēng)險本質(zhì)及最佳緩解辦法。
2. 優(yōu)化稀缺資源
鑒于網(wǎng)絡(luò)安全人才短缺的情況,通過自動化來減少高級安全人員花在繁瑣事務(wù)上的時間就特別重要了。安全人員難尋,雇傭薪酬很高,還能難留得住。所以必須高效利用——能用10分鐘解決的事決不讓他們花上1小時。而且,自動化繁瑣任務(wù)還可以降低過勞和跳槽的風(fēng)險。
舉個例子,安全分析師要花費大量時間在不同管理面板間切換,四處查看以找出自己所需,設(shè)置各個過濾器,關(guān)聯(lián)數(shù)據(jù),并在各個系統(tǒng)間不停復(fù)制粘貼。如果沒保存下剛剛查到的數(shù)據(jù),還得將整個過程全部重來一遍。如果能應(yīng)用自動化從各個不同安全產(chǎn)品中拉取數(shù)據(jù),并聚合到易于審閱的單個面板中,就能為安全分析師省下大量時間和挫敗感。將安全分析師與不同安全產(chǎn)品的交互加以編排和自動化,能獲得很高的投資回報。
3. 實現(xiàn)不可能
聽起來有點虛,但確實有些東西是人力不可及,要么因為數(shù)據(jù)是僅憑人力無法處理和消費的形式,要么單純因為數(shù)據(jù)太多了。
不妨設(shè)想一下多個產(chǎn)品不能直接互通而需要中間轉(zhuǎn)換過程的情況。一個典型的例子就是公司訪客在會議現(xiàn)場需要無線連接時的處置。面對這種情況,大多數(shù)時候都是讓他們共享無線連接來賓賬戶,但這里面存在一個責(zé)任問題。如果你發(fā)現(xiàn)某種行為讓公司陷入風(fēng)險之中——無論該行為是惡意的還是無意的,你都很難,甚至無法確定其來源。而若將物理安全所用的徽標(biāo)登記系統(tǒng)與IT管理的無線連接來賓賬戶集成到一起,再編排及自動化登錄過程,你就可以消除掉這一責(zé)任問題。
至于如何有效利用海量數(shù)據(jù),通過編排和自動化,你可以從云端收集威脅情報,將之轉(zhuǎn)譯成可用格式并創(chuàng)建新的黑名單。然后就能基于該最新的威脅情報重新配置防火墻,無需人工干預(yù)即完成主動安全強化。
上面這些例子中你都在用SOAR來改善安全運營——無論是更快地檢測威脅、更好地利用安全人員,還是將不可能變?yōu)榭赡堋<铀偈录憫?yīng)確實很重要,但SOAR的用處遠(yuǎn)不止這個。
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織