将安全分析师与不同安全产品的交互加以编排和自动化,能获得很高的投入回报。
200多年前的工业革命以来,自动化就在人类社会中扮演着重要角色。今天,自动化已与我们的日常生活密不可分,从支付账单到制作咖啡,再到控制室温,都要用到自动化技术。自动化的重点在于减少人类花费在繁琐重复性劳动上的时间,以便挪出更多时间去从事高价值的活动。
每个行业都有自动化的空间,安全行业也不例外。安全人员几十年前就在谈论自动化问题,但因为一系列原因,至今尚未完全拥抱自动化技术。不过,过去几年中,我们开始迎来一些改变。随着安全编排、自动化及响应(SOAR)的出现与发展,自动化如今开始扎根生长了。
Gartner是SOAR这个术语的缔造者和推广者。很多安全供应商正涌入SOAR市场,其中很多关注的是事件响应(IR)战术手册的自动化。每个公司的安全团队都应将缩短平均响应时间(MTTR)作为重中之重来抓,这点毫无疑问。但SOAR的涵盖范围远不止如此。防御者不应自我设限到仅自动化战术手册上。安全运营中还有很多其他活动能受益于自动化和编排。比如以下几个例子。
1. 检测威胁更快速
安全有效性的重要衡量指标之一,就是安全运营检测威胁的速度。但平均检测时间(MTTD)削减个十来分钟或1小时意义不大,因为很多公司往往几个星期甚至几个月都找不出潜藏在自己网络中的威胁。波耐蒙研究所的《2018数据泄露损失报告》将MTTD定位在197天上。即使仅缩减5%-10%的检测时间,也意味着能提早1星期甚至更多天来发现数据泄露事件——减少黑客可用于搞破坏的时间并降低数据泄露的损失。事实上,调查研究表明,能在100天之内发现数据泄露的公司企业,比发现时间超过100天的那些,要少损失100万美元以上。
为更快发现威胁,公司企业采用了各种各样的威胁情报产品。但有时候这些解决方案并不会主动推送数据,而是需要轮询。而且,产出的数据格式也各异。将所有威胁情报快速统一成某种可用的格式,可以削减MTTD。将安全运营的这一方面加以自动化,便可加速检测与调查,以便了解哪些东西面临风险,如果风险等级较高,还可确定风险本质及最佳缓解办法。
2. 优化稀缺资源
鉴于网络安全人才短缺的情况,通过自动化来减少高级安全人员花在繁琐事务上的时间就特别重要了。安全人员难寻,雇佣薪酬很高,还能难留得住。所以必须高效利用——能用10分钟解决的事决不让他们花上1小时。而且,自动化繁琐任务还可以降低过劳和跳槽的风险。
举个例子,安全分析师要花费大量时间在不同管理面板间切换,四处查看以找出自己所需,设置各个过滤器,关联数据,并在各个系统间不停复制粘贴。如果没保存下刚刚查到的数据,还得将整个过程全部重来一遍。如果能应用自动化从各个不同安全产品中拉取数据,并聚合到易于审阅的单个面板中,就能为安全分析师省下大量时间和挫败感。将安全分析师与不同安全产品的交互加以编排和自动化,能获得很高的投资回报。
3. 实现不可能
听起来有点虚,但确实有些东西是人力不可及,要么因为数据是仅凭人力无法处理和消费的形式,要么单纯因为数据太多了。
不妨设想一下多个产品不能直接互通而需要中间转换过程的情况。一个典型的例子就是公司访客在会议现场需要无线连接时的处置。面对这种情况,大多数时候都是让他们共享无线连接来宾账户,但这里面存在一个责任问题。如果你发现某种行为让公司陷入风险之中——无论该行为是恶意的还是无意的,你都很难,甚至无法确定其来源。而若将物理安全所用的徽标登记系统与IT管理的无线连接来宾账户集成到一起,再编排及自动化登录过程,你就可以消除掉这一责任问题。
至于如何有效利用海量数据,通过编排和自动化,你可以从云端收集威胁情报,将之转译成可用格式并创建新的黑名单。然后就能基于该最新的威胁情报重新配置防火墙,无需人工干预即完成主动安全强化。
上面这些例子中你都在用SOAR来改善安全运营——无论是更快地检测威胁、更好地利用安全人员,还是将不可能变为可能。加速事件响应确实很重要,但SOAR的用处远不止这个。
相关阅读
