自动化正快速成为IT人员手中最重要的工具。
AI (artificial intelligence) concept.
正如过去一年中各种黑客攻击与数据泄露所呈现出来的,任何公司企业或组织机构都有可能沦为网络攻击的受害者。
网络攻击一旦发生,有没有快速事件响应,决定着公司企业是快速控制伤害,还是惨遭破坏性数据泄露。事实上,面对越来越严格的监管和企业责任意识的增长,修复工作的速度和可测性也变得更加重要。
安全运营团队如今面临的一个大问题是高级技术人才的缺乏。IT部门通常不会很大,原本就少的人手中有一部分员工的技术还并不足以适应工作的需要。同时,采纳新技术的需求与不断缩减的预算也是一对矛盾,安全运营团队遭遇的资源限制越来越严重。如今威胁态势愈加危险和复杂,这一问题也就愈显突出。
一直以来,公司企业投资多种网络安全工具,每天产生成千上万个安全警报。对经常人手不足的安全团队而言,这根本就是个雷区,前行非常困难。
主要挑战之一就是对攻击的限制往往需要IT团队遵循一些难度颇高的准则,比如某些耗时的人工操作。了解多种不同产品,关联这些产品各自产生的数据,并确定警报是否为真就已经很是费时费力了。时间宝贵的情况下,人手严重不足,再加上缺乏自动化,可能会令公司面临更多的风险。
SOAR方法的兴起
内嵌安全编排、自动化与响应(SOAR)在网络安全领域已经流行了一段时间。
这些功能无疑是企业安全的发展方向。Gartner指出,SOAR可供公司企业收集不同来源的安全威胁数据和警报,运用人机结合的方法进行事件分析与分类,根据标准流程辅助定义、排序和驱动标准化事件响应行为。该咨询公司预测,到2020年底,拥有5人以上规模安全团队的公司企业中15%都将采用SOAR,而现在的采用率只有1%。
SOAR主要为安全团队提供定制化的流程和控制,弥合并加速有效网络威胁的调查与缓解。安全运营团队的大量日常事务性工作也可以借助SOAR加以自动化。而且,案例战术手册还可以帮助分析师在单一平台上响应和缓解威胁,节约事件响应的每一分每一秒宝贵时间。
改善事件响应
通过平均检测时间(MTTD)、平均响应时间(MTTR)、确认时间(TTQ)和调查时间(TTI)等明确且可跟踪的指标,SOAR功能还能帮助分析师了解流程有效性,快速识别可改善的地方,进一步提升安全运营团队的效率。
这些性能指标还可使安全主管量化团队的整体业务价值,若有需要,可作为相关监管机构的重要证据呈上。
另外,SOAR有助于减少书面工作,改善报告环节。很多安全运营团队有大量基于管理的工作要做,比如撰写报告或记录安全过程等。
通过从各个来源收集情报并展现在显示面板上,SOAR可有效免除手动执行这些动作的需要,并能帮助团队规避忘记重要事项或更新的可能性——安全运营团队面临的繁忙多变环境中是很可能出现遗漏的。SOAR技术可帮助团队更智慧地工作而不是更难开展工作。
尽管SOAR的自动化能快速产生回报,值得指出的是,该项功能确实需要前期投资,因而与IT部门合作和买入就成了关键。SOAR自动化整个IT部门的响应,所以必须将安全运营团队外部的IT团队纳入共事。
最终,SOAR帮助业务与安全运营团队优化其快速检测与响应威胁的能力,量化MTTD和MTTR等关键性能指标,通过改善情报与报告、弥合自动化响应动作的流程与操作来减轻日常工作负荷。毫无疑问,自动化正快速成为IT人员手中最重要的工具。今天的威胁态势日趋纷繁复杂,安全运营团队越来越难以跟上威胁进化发展的脚步。SOAR去除了大量手动事务性操作,令安全运营团队能够专注其他更重要的任务,让他们心里有底。
相关阅读
