技术作为一个整体会发生变化,安全行业也不例外。
在过去的三年里,我们看到机器学习和人工智能几乎被注入到了这个行业的每一个领域。这项技术之所以被如此广泛地采用,是因为一个组织的安全计划中提出了提高运作效率的价值。今天,随着安全自动化和协调(SOAR)工具进入市场,我们看到了这一点。
安全自动化和编排使我们能够为我们的安全团队配备有效检测和显示可操作警报所需的工具。我们已经看到 SOAR 工具已添加到流行的 SIEM 系统中,例如 LogRhythm 的 SmartResponse 或 Splunk 对 Phantom 的收购,从而创建了一种更加简化的方法来检测和响应威胁。
此功能可帮助安全运营团队在平均检测时间(MTTD)和平均响应时间(MTTR)内减少指标,从而更有效地消除事件。但是,这些工具并不是万能药,安全运营团队会不断审查其技术,程序和培训,以了解实施中所投入的内容。
在利用该技术协助进行安全性自动化和编排时,最重要的考虑因素之一就是确认将支持您当前的基础架构。我们看到安全自动化和编排技术已集成到 SIEM 系统中,以帮助简化事件的检测和响应,并且能够整合您的其余环境至关重要。
根据 SOAR 产品的不同,可能需要依赖 API 或使用已经存储在中央存储库中的事件。目的是轻松地将您当前使用的系统和技术与 SOAR 架构集成在一起,以将它们捆绑在一起。
在考虑新技术时,选择一个足够开放的 SAO 系统是很重要的——被锁定为使用特定供应商的技术来进行 SAO 会使目的落空。数据和配置的中央存储库是 SAO 实现的命脉。
根据其用途,输入系统的数据将决定实现的有效性。在实施 SOAR 系统之前,组织应该确定他们的痛点是什么,以及该技术如何帮助安全操作团队降低网络风险。这是通过应用这些工具来防御使用组织中已有的技术和数据的威胁来实现的。要做到这一点需要持续的关注,但你投入技术的时间越多,反应的效果就会越好。
许多 SOAR 系统都结合了对威胁的自动响应功能,但是在发现威胁之后,存在几种不同的升级途径:
控制风险的最快方法是让 SOAR 系统自动编程以采取行动。这可以迅速遏制威胁,但如果产生误报并采取行动,也可能造成问题,从而以最大的风险实现最快的恢复。因此,这只能用于具有高有效率的警报。
警报的另一种选择是手动响应。在调查期间,分析人员可能会遇到问题,并手动触发 SOAR 的响应,以使连接的系统根据其发现进行操作。尽管这样做的风险较小,但在事件响应生命周期的 MTTD 和 MTTR 上却比较耗时。
第三种选择是系统采取与自动响应一样的所有步骤,但是在采取行动之前寻求批准。
应根据警报的类型以及组织对数据产生预期结果的能力的信心来使用这些响应选项。
这些响应选项可以进行详细的工作流管理,从而可以帮助安全运营团队创建事件标准。这种自动化的标准化意味着事件的工作流程也将在事件期间触发,从而使事件响应过程更加流畅。在许多系统中,这可能导致基于组织的票务系统将案例创建包含在响应中。
同样,根据使用的系统,您可能需要收集和自动化特定的工件。此过程通过消除可能的人为错误来帮助保持数据的完整性。
例如,如果在端点上检测到事件,则部分过程将包括对内存的取证捕获,通过防火墙或网络访问控制产品将系统从网络中移除,并通知操作团队。所有这些自动化的能力有助于隔离,并使您的 IR 计划成形。通过利用现有的环境和 SOAR 技术,您的组织可以从当前的投资中获得额外的价值。
我们看到许多供应商将他们的产品吹捧为入门级分析师的替代品。当发生任何形式的自动化时,我们都会看到技术的应用,这会创建更精简的员工队伍。
我认为,SOAR 不会取代分析师,而是会补充和指导他们目前的角色。目前,我们看到供应商采用盒装方法为分析师提供价值,但这将永远无法将人员完全从行业中撤离。但是,它可以帮助那些已经在该领域工作的人提高自己的能力,并变得更好地防御和侦查,同时补充较低级别的初级角色,以更好地理解威胁。
在许多方面,我认为这是 SIEM 的发展和行业的完善,而不是 SIEM 或分析师的替代品。
安全自动化和编排都是安全行业的流行语,我认为它们将成为标准,因为行业和客户都希望该技术遵循某些趋势,从而使他们的运营团队的生活更加轻松并降低风险。