通过安全自动化填补网络安全技能的空白,有望帮助减轻合格的网络安全专家的短缺。了解 SOAR 如何帮助安全团队更聪明而不是更智能而不是更努力的工作。
网络安全行业正处于一种危机状态:根本没有足够的员工去工作。CyberSeek 发布了一份网络安全供需热点图,描绘了一幅对员工来说是乐观的,但对雇主来说却是悲观的景象:从 2017 年 9 月到 2018 年 8 月,有超过 30 万个网络安全职位空缺,2017 年有大约 70 万人在该领域就业。这意味着超过 30% 的网络安全职位空缺。
填补网络安全技能缺口的希望渺茫,多数分析师预测,这一缺口将变得更严重,而不是得到改善。安全部门的领导正求助于人力资源团队来帮助他们招聘和留住有才华的专业人员,但这根本不足以解决问题。
安全协调、自动化和响应(SOAR)项目为解决网络安全技能缺口提供了一种替代方法:更聪明地工作,而不是更努力地工作。SOAR 的努力有望使网络安全的日常工作自动化,这带来了几个重要的好处。首先,它通过减少包括人为干预在内的工作流程的数量来减轻组织的网络安全人员负担。第二,SOARE 努力的目标往往是分配给安全专业人员的更平凡的任务,使他们能够专注于使用他们的才能和技能的更有成就感的工作。第三,SOAR 允许安全团队通过创建可伸缩的自动化流程来处理过去没有解决的工作。最后,SOAR 提高了响应时间,使安全控制能够在事件升级为全面危机之前对事件做出快速反应。
让我们看一下 SOAR 承诺解决网络安全技能差距造成的弊端的三个领域:
SOAR 机会 1:日志处理
任何分析过安全控件生成的日志的分析师都知道这项工作的基本原理:这是乏味,容易出错且困难的。坦白地说,梳理每天产生的数百万个日志事件是一项不费力的任务,尤其是在这个时代,网络安全技能的差距越来越大,尤其是在这个时代,它往往表现不佳。
安全信息和事件管理(SIEM)工具通过合并来自各种来源的日志并允许信息的自动关联和分析,从而减轻了这种负担。通过允许那些自动化分析触发响应,SOAR 的努力将 SIEM 提升到一个新的水平。例如,SOAR 任务可能会识别针对 Web 服务器的暴力 SSH 攻击,然后立即将规则插入网络防火墙,以阻止来自该源的流量。相反,当人类分析者注意到攻击时,攻击将结束,从而无法做出有效响应。
SOAR 机会 2:威胁情报
许多组织现在购买威胁情报订阅服务,以提供及时的安全信息。这些服务通常包括 IP 地址信誉提要,这些提要几乎实时地识别已知恶意行为者的地址。这些提要为安全自动化提供了另一个机会。通过将威胁情报源直接集成到防火墙,路由器和入侵防御系统中,安全团队甚至可以在尝试攻击之前自动阻止已知的恶意地址。
SOAR 机会 3:账户生命周期管理
帐户管理流程也是自动化活动的主要目标。大多数组织已经使用某种形式的自动帐户管理,通常是在员工进入和离开组织时自动进行供应和取消供应流程。SOAR 在此领域进行工作的其他机会包括识别休眠帐户并将其推入停用工作流,标记违反职责分离原则的权限组合以及自动进行定期访问审核。SOAR 无法弥补网络安全技能的不足,仍然必须解决。但这是处理该问题的一种方法。