從無到有打造SOAR
責(zé)編:gltian |2018-08-31 17:12:41考慮購買安全編排、自動化與響應(yīng)(SOAR)解決方案的公司企業(yè),往往會擔(dān)心自己現(xiàn)有的事件響應(yīng)項目尚未成熟到可實現(xiàn)帶自動化與編排功能的綜合性平臺的程度。如果幾乎沒有任何基礎(chǔ),從零起步似乎甚為艱難,尤其是團隊中無人有事件響應(yīng)或安全編排解決方案經(jīng)驗的時候。
雖然大家都不想僅僅是往低效過程中添加自動化就完事兒,但如果老方法本身已不夠好,進一步鞏固這種舊有的安全事件處理方式顯然更不科學(xué)。
如果你想要改善公司安全運營,但不知道從何處著手,以下幾步或許可以幫你準(zhǔn)備好遷移到SOAR平臺。
1. 盤點當(dāng)前運營狀況
認為自己不具備事件響應(yīng)項目的公司各有各的道理。無論有沒有SOAR或事件響應(yīng)平臺,每家公司都有些管理安全事件的方法,即便可能涉及很多即興動作和臨時過程。
準(zhǔn)備實現(xiàn)SOAR平臺的時候,可以花點時間與公司利益相關(guān)者談?wù)劊私猱?dāng)前過程及這些過程的有效性(或無效性)。這其中應(yīng)當(dāng)包括梳理工具清單:
- IT和信息安全的現(xiàn)有基礎(chǔ)設(shè)施有哪些?
- 有沒有什么工具可供進行數(shù)據(jù)豐富操作?
一旦弄清楚了手頭有哪些工具可用,你就可以將這些工具都映射進事件響應(yīng)生命周期中,比如 NIST 800-61r2 標(biāo)準(zhǔn)中描述的那種,并識別出公司當(dāng)前還缺些什么。
接下來,查看一下公司遵從的事件響應(yīng)過程或手冊。看看安全運營中心(SOC)內(nèi)部是怎么協(xié)作的?又是怎么與IT和數(shù)據(jù)隱私組織等其他團隊協(xié)作的?公司如何保持在事件響應(yīng)過程中的法律合規(guī)與監(jiān)管合規(guī)?公司團隊是如何管理網(wǎng)絡(luò)釣魚或惡意軟件之類當(dāng)前常見安全事件的?
如果有可用的衡量標(biāo)準(zhǔn),請仔細審查,找出運作良好的部分和需要改進的地方。比如說:
- 檢測并響應(yīng)安全警報耗時多久?
- 哪些活動占據(jù)了安全分析師太多時間?
如果沒有正式指標(biāo)可用,那就詢問安全分析師和經(jīng)理,讓他們給出自己的評估。
2. 找出最適用于自己公司的功能,以及提供這些功能的平臺
市場上有各種各樣的SOAR平臺,要收窄自己的選擇面,不妨花點時間確認一下對自己而言最為重要的功能。想要首先自動化的過程是哪些?什么問題是你安全團隊最為棘手的?存不存在重復(fù)發(fā)生的安全事件、數(shù)據(jù)孤島或過程瓶頸?你的分析師可以幫你回答這些問題。
每個平臺都有各自側(cè)重的安全運營方面。這些功能大致可分為以下幾類:
- 警報管理:幫助SOC分揀、評估并關(guān)閉出自SIEM和其他源系統(tǒng)的持續(xù)安全警報流。
- 分類:通過從威脅情報和歷史事件記錄等外部和內(nèi)部源收集上下文信息,幫助分析師做出決策。
- 事件響應(yīng):包含戰(zhàn)術(shù)手冊、任務(wù)管理、鏈接分析等功能,支持有效且可重復(fù)的響應(yīng)工作流。
- 報告與分析:包括自動化或安排報告、產(chǎn)生詳細SOC指標(biāo),以及為使用該系統(tǒng)的不同用戶角色定制儀表板的能力。
- 合規(guī)與跟蹤:比如審計跟蹤、保管鏈和通用合規(guī)報告模板。
- 案例管理:包含對調(diào)查人員與其他團隊間協(xié)作的支持、相關(guān)事件的案例存儲目錄、有引導(dǎo)的調(diào)查工作流和證據(jù)管理。
3. 試著草擬一份戰(zhàn)術(shù)手冊
想要對如何運用SOAR平臺有個具體感知,可以試著為你最重要的用例草擬一份戰(zhàn)術(shù)手冊。然后,指出你覺得可用自動化和編排來加以增強的步驟。
從供應(yīng)商或行業(yè)機構(gòu)處可以很容易獲取在線戰(zhàn)術(shù)手冊樣例,這些樣例應(yīng)能給你有關(guān)步驟上的參考。評估公司現(xiàn)有過程并問詢公司分析師可以得到更有價值的信息,包括常見用例或重要用例。可以從你安全環(huán)境中最典型的用例開始應(yīng)用,比如網(wǎng)絡(luò)釣魚、可疑數(shù)據(jù)泄露,或者惡意軟件感染。
如果你沒有任何正式的事件響應(yīng)項目,那實現(xiàn)SOAR解決方案、事件響應(yīng)平臺或任意其他重要安全工具都會很困難。不過,只要遵循了上面描述的步驟,你就會對自身情況有個更好的認知,知道自己要走的路線和需要達到的效果。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧