[调研]推进安全运营自动化
大多数公司正在自动化安全运营流程并收获了一些益处。智能策略和合适的技术决策能够加速这些安全运营自动化项目。
企业战略集团(ESG)的调研表明,52%的公司认为,由于威胁态势恶化、攻击面扩大和安全警报变得更多/更复杂,安全运营比两年前更难开展。分析这一数据可以看出一个共同的主题:规模。安全团队必须能够扩展运营,应对源源不断接踵而来各项事务。面对全球网络安全人才短缺的窘境,首席信息安全官(CISO)需要除招募更多人手之外的其他选择。
那么,公司该如何继续推进呢?通过自动化安全运营流程!ESG的调研结果揭示,近半数(46%)安全运营中心(SOC)团队正在“广泛”自动化安全运营流程,另有44%在“某种程度上”自动化安全运营流程。
安全自动化的多种方式
说到安全运营流程自动化,人们可能会将之等同于安全编排、自动化和响应(SOAR)技术。某些情况下,这么假设是对的,因为37%的公司使用某种类型的商业SOAR工具。但有意思的是,超过半数(53%)的公司有意避开了SOAR,反而使用其他安全技术中的安全运营流程自动化功能,例如安全信息与事件管理(SIEM)、威胁情报平台(TIP)、IT运营工具,或者扩展检测与响应(XDR)。使用SOAR的公司承认自己并不轻松:80%的公司认为使用SOAR比预期的更加复杂和耗时。
除开技术不谈,安全专业人员承认,安全运营流程自动化存在一些主要障碍。例如,39%的安全人员宣称自家SOC团队并不具备开发自动化工作流所需的软件编程技术,21%则称其安全运营流程相对不成熟,需要重新设计一番才能自动化。最后一个障碍反映了比尔·盖茨关于流程自动化的著名论断:“自动化应用到有效运营上可以提高效率,应用到低效运营上则会降低效率。”
通往成功安全自动化的窍门
很明显,在公司能够且应该将资源投入安全运营流程自动化之前还有些工作必须要完成。磨刀不误砍柴工嘛。调研揭示,安全人员认为安全运营流程自动化能带来许多好处,比如缩短平均响应时间(MTTR),用操作手册提升威胁检测,提高员工生产力,以及加快严重警报的处理速度。但需要在获得种种好处的同时解决安全运营流程自动化的复杂性与技术要求。ESG访谈了无数SOC人员后建议:
从基础开始安全运营流程自动化项目。几乎每个SOC经理都想自动化那些每天重复几十遍的乏味任务,比如查找IP地址、丰富警报、对照VirusTotal或其他恶意软件样本库检查文件哈希值等等。一些SOC经理表示,仅仅是自动化这些任务就能显著提升生产效率。SOC团队应该问询所有级别的成员,了解他们的想法,然后按轻重缓急编制出需自动化的任务列表,再定义一系列指标来帮助SOC团队评估进度。
在现有技术中寻找捷径。如上所述,任务自动化不是秘密。在编写代码或投资SOAR技术之前,我们有必要评估SIEM、XDR、TIP或ServiceNow等现有工具的流程自动化功能。很多此类供应商现在都内置了前文提到的一些任务自动化功能。除了供应商之外,我们还可以寻找其他用户,看看他们是否已经采用通用技术创造性地解决了SOC流程自动化。
研究现有安全运营流程模板。评估了自身的安全运营流程之后,审查已确立的最佳实践并观察主流企业都在做些什么也很有帮助。需要注意的是,有些SOAR供应商为网络钓鱼调查、威胁捕捉和事件响应等流程提供基本的工作流程模板,这些模板可以根据各个公司的需求进行定制。
探索低代码/无代码选项。为克服开发技能障碍,Demisto(PAN XSOAR)、Siemplify(谷歌)、Splunk SOAR和Swimlane等主流SOAR提供拖放菜单,帮助企业创建简单的自动化工作流程。Tines和Torq的新型SOAR产品则是从一开始就围绕低代码/无代码设计。低代码/无代码SOAR不仅简化了工作流程创建,而且还民主化了流程自动化,从初级一级分析师到经验丰富的威胁猎手、研究人员和事件响应人员,全都能从中获益。
参考阅读
软件供应链安全治理与运营
人机共智—促进智能化安全运营
数字经济时代的数据安全运营建设
自动化响应要循序渐进 不能一蹴而就
自动化响应不是人工智能,自主响应才是