最佳实践:想要编排高效?先实现安全运营自动化吧

作者:星期二, 十月 31, 20170
分享:

很多CISO都对安全运营自动化及编排抱有兴趣。事实上,大量企业已经在这么做了。企业战略集团(ESG)的研究表明,19%的企业已经广泛部署了安全运营自动化/编排技术,另有39%某种程度上做到了这一点。

如今,我们似乎喜欢把自动化与编排混为一谈,但这二者之间其实差别很大。在最近的安全运营调查中,ESG定义了以下术语:

自动化:用技术来自动化某一安全运营任务。比如说,企业可以利用威胁情报中发现的入侵指标(IoC),来创建修复规则,以产生自动封锁恶意IP地址、域名和URL的规则。通常,自动化指的是单个过程或任务。

编排:指的是,弥合软硬件组件以支持某种多阶段安全分析或运营过程。编排还与安全工作流的连接与自动化有关,用以交付已定义服务。

举个例子,企业可编排与安全调查或软件漏洞修复有关的工作流。编排往往与提升个人或团队间协作有关(比如网络安全和IP运营团队)。

基于以上定义,ESG询问受访者:安全运营自动化或编排,哪个的优先级更高?结果很明显:66%的受访者称,自动化安全分析和运营的优先级更高31%认为编排安全分析和运营的优先级更高。(注:3%说“不知道”)

为什么大部分人倾向自动化?安全运营充满无数单调的任务——取数据、调整设备配置、实现对已知不良IoC的封锁规则等等。最近的SOAPA视频中,ServiceNow安全总经理肖恩·康弗里提到,他工作过的一家公司花了约40%的事件响应时间,仅仅为了找出特定IP地址的拥有者是谁。简直不能忍!

如今,由于网络安全人才短缺,很多公司企业都人手不足,在许多领域缺乏高端人才,比如安全分析、取证、事件响应等等。鉴于此,让宝贵的安全人员花时间在能被自动化的单调任务上,根本就是犯罪。CISO知道这一点,这一点也正是驱动安全运营自动化工具需求端活动和供应端讨论的地方。

安全运营编排

编排的情况又如何呢?事实上,稍微有一点点难。编排一个过程,意味着要完全理解该工作流,要集成全部所需数据以支持该过程,要记录、管理和跟踪该过程整个生命周期,并支持人员间和安全及IT运营团队间所有必要的交接。

其中假定是:

  • 有个可被编排的规范过程
  • 有人理解与该过程相关的所有步骤
  • 该过程本身是合理的

然而,不幸的是,这些假定往往无法达成。安全运营过程通常都是不规范的,往往基于经验、工具集和第3层分析师的个性。鉴于此不规范性,没人能真正理解其中牵涉的所有步骤。

最后,安全过程随时间进程在全公司实现,公司难以评估其安全运营过程是否达到最佳实践标准,或者还需要改进。正如某位CISO所说的:“我们最不想做的就是编排一个糟糕的过程。”

毫无疑问,安全运营自动化和编排应是企业重点关注对象,但基于ESG的研究结果,CISO们最好还是采取一种策略性的方法:

花点时间评估当前事务完成的方式;与同行业同样规模的公司对比交流;找寻快速自动化胜出方案;从简单过程的编排开始,获取编排技术不断发展的专业知识;从ISO、NIST、SANS等机构组织处寻找最佳实践。

正如安全大师布鲁斯·施奈尔所言:“安全是个过程,不是产品。”此话用在安全运营上再正确不过了。CISO若能花时间关注安全运营过程,将能提高安全效能和操作效率。拘泥于产品的人,顶多也就是取得些许进展而已。

相关阅读

安全自动化在于信任,而非技术
如何改进安全运营和安全分析水平

 

分享:

相关文章

写一条评论

 

 

0条评论