安全團隊如何利用自動化為企業提供服務
從基于周界的防御轉移到分析驅動的方法成了許多首席信息安全官和首席信息官的新目標。這種方法利用來自傳統IT系統、上網設備和云的數據,提供整個生態系統的可視性。另外,這還意味著需要全面掌握有關事件的責任人、內容、發生時間、發生地點以及如何發生的端到端信息。
即使成熟的企業和經驗豐富的安全專家有時也會采取被動的應對措施,只能盡己所能搜索和響應威脅。安全運營團隊只能對能夠識別的威脅做出響應,大部分團隊已經疲于應對各種安全警報。調查工作需要花費太長時間,需要分析的大量數據和負責監控、檢測和響應威脅的安全和IT人員之間出現失衡。
設想一下,如果設計一個勒索軟件每14秒對某個企業發起一次攻擊,到2019年底,需要多少人來處理如此容量的攻擊?難以估計!要讓安全運營中心(SOC)實現自動化,每個安全官如今應該專注于以下三個問題。
使自動化需求合理化?
分析公司Quocirca近期的一項調查發現,企業每月平均發生1200次IT事件,其中5次為嚴重事件。需求并不是實施自動化所面臨的挑戰,那么,挑戰到底是什么呢?是大多數安全團隊無法從業務或任務優先級方面將自動化需求合理化。
隨著對數據分析的關注度不斷升高,SOC可以實現更高水平的自動化。可預測的任務,尤其是配上檢查清單的可預測任務是最應該實現自動化的:與合規性、內部策略、報告或保全證據相關的活動可以實現自動化,無需擔心通常出現的不良后果。
自動化的目標是讓分析師能夠更快做出決定,而不是取代分析師。自動化可以讓安全分析師從技術鏈條中解放出來,不必疲于連接配置有誤的技術;它可以讓分析師轉變數據挖掘者的角色,不再忙于復制/粘貼電子表格;還可以讓分析師專注于具有更高價值的決策工作,從而能夠提高調查和響應的速度。
評估自動化就緒程度
雖然實施自動化有望幫助緩解某些技能短缺的問題和應對留住合格人才的問題,但它對企業整體績效和健康發展所做的貢獻要大得多。自動化有助于讓安全組織成為創新的核心力量,通過改善安全措施對企業產生積極影響,在IT部門內部進行更好的集成,并對風險情況有深刻見解。
要評估在自動化進程中取得的進展,首席信息安全官應在引進自動化技術之前就進展達成協議。在評估安全自動化進展時,企業必須考慮以下方面:
數據訪問和數據準備
如何包含并通知企業的其他部門,例如IT團隊或運營團隊
哪些現有的流程和活動需要修改
如何集成現有的軟件和工具(尤其是未充分使用的軟件和工具)來優化整體的安全投資
自動化如何讓SOC目標和企業目標相一致
推廣業務影響
在與企圖危害企業或任務的威脅發起者和攻擊者進行對抗的過程中,組織將在長時間內持續面臨一種不平衡的局面。需求是明顯存在的,首席信息安全官們可以從小處做起,向企業管理者或董事會量化這種價值。從為一套流程或特定需求實現自動化開始,跟蹤短期內的成效,然后報告自動化對事件監測的改善情況,或者平均問題解決時間減少的情況。可以從威脅檢測和威脅調查的比例、識別威脅到事件結束所用的時間或節省的成本等方面進行衡量。
自動化不是神奇的魔術,也不能解決所有問題。自動化的建立和維護需要整個組織投入專門力量。隨著組織不斷發展,數字化轉型不斷深化,自動化將成為安全團隊服務于企業和企業目標的關鍵。
注:本文作者為Splunk中國區總經理 嚴立忠先生
