SOAR资讯 【转载】SOAR:转变安全运营中心 (SOAR: Transforming the Security Operation Center)

poker · 2021年04月19日 · 711 次阅读

在整个组织的各个部门中,安全运营中心(SOC)团队都面临着一系列共同的挑战。空前的手动工作量,越来越多的安全工具,以及雇用和保留熟练的分析师的需求不断增长。

当涉及到巨大的事件时,典型的 SOC 分析人员将全力以赴 - 他们必须确定,确定优先级并解决最关键的事件。事件的数量不应成为 SOC 损害服务质量(QoS)和客户期望的限制因素。

SOAR 解决方案可以通过帮助组织解决技能差距并通过自动化操作手册和工作流来减轻分析师的手动工作量而来。由 Gartner 于 2017 年 创立的安全协调,自动化和响应(SOAR)已成为领先的解决方案,可让组织有效,高效地降低总体安全风险。Gartner 还预测,到 2021 年,拥有专用 SOC 的企业组织中有 70%将包含 SOAR 功能

有效安全操作的关键

SOAR 为安全团队提供了一个平台,可以快速有效地处理警报量,从而节省了执行基于技能的重要任务的时间,从而提高了 SOC 的性能。

让我们看一下 SOAR 解决方案可以改善安全性操作的方式:

更快的事件响应

SOAR 转换安全性操作的主要方法是快速做出反应,以识别威胁,从而防止攻击并减轻风险。大大减少了攻击者可以访问系统的时间。我们在安全空间中的实时性越强(接近零延迟),安全解决方案将越有效。

最小化网络攻击带来的风险和威胁

SOAR 帮助安全分析人员更快地响应和调查攻击,从而使他们可以更快地开始缓解。自动化功能使他们能够采取措施将攻击风险降到最低,而无需人工干预,例如 Endpoint Diagnostics。SOAR 平台可帮助识别非托管端点,添加上下文符号并打开故障单以调查问题。如果任何端点不在代理程序的通信范围内,它将尝试使用 ping 来启动代理程序,从而将风险降到最低。

SOAR 自动化技术与机器学习(ML)和人工智能(AI)相结合,为缓解不断发展的威胁提供了强大的平台。AI 和 ML 已成为 SOC 自动化的新范例。它们提供了更快的方法来识别新攻击,并使预测分析能够得出统计推断,从而以更少的资源缓解威胁。

主动搜寻威胁

使用编排和自动化技术,分析师可以在多个安全工具之间快速进行协调。SOAR 使 SOC 团队能够从多个来源提取威胁源,并使工作流自动化以主动扫描整个环境中的潜在漏洞。

减少误报并提高调查质量

SOAR 工具可以通过更快地解决误报来帮助提高调查质量。分析人员通常将大部分时间用于注释和纠正误报。通过将自动化程度提高到 80%,可以释放安全分析师的时间,从而可以用来学习许多安全产品的详细知识。

智能报告和创建知识库

在大多数 SOC 中,分析人员花费大量时间来管理案例,创建报告并记录事件响应程序。通过从多个来源收集情报并通过可视的自定义仪表板显示此信息,SOAR 可以帮助组织减少文书工作,同时改善 CXO 与分析师之间的沟通渠道。

通过自动化操作手册,SOAR 还有助于创建知识库并避免知识产权和机构记忆的损失,鉴于组织在保留安全人才方面面临的困难,这种事情很容易发生。

降低成本

通过带来自动化,SOAR 有助于降低运营成本。让我们看一下典型 SOC 的三个主要投资领域,以及 SOAR 如何帮助减少和重新定义人员,流程和技术的成本:

  • 人员:SOAR 通过​​自动执行重复的手动任务并释放他们的时间来花费更多的时间用于威胁的调查和分析,从而有助于优化和减少分析师的工作量。因此,它可以大大减少组织的人力投资。

  • 流程和技术:创建,测试和维护流程,技术和团队非常繁琐,并且会增加预算成本。但是,流程和技术是安全操作的重要组成部分,不可忽视。为了充分利用安全工具的功能,大多数 SOAR 实现将问题转移给可能不了解自动响应操作的操作含义的开发人员。SOAR 在这里发挥作用;一旦定义了流程,其余的工作将自理,这将使 SOC 由较少的合格分析师组成。SOAR 将工具整合在一起并进行集成以提供一个统一的平台,从而将响应时间和预算减少了很多倍。

现实与前进之路

如今,SOAR 的采用仍然非常缓慢且低,但仍在增长。这种采用率有助于使组织确信 SOAR 将帮助他们的安全运营获得保险,并具有抵御威胁的能力。

对于打算利用 SOAR 的 SOC 来说,关键是从小处着手,在适用的情况下实现自动化,这样安全态势就可以从一级或二级成熟度(流程是临时的、没有文档记录的)过渡到三级成熟度。这第三个层次是操作开始被明确定义、主观评估和灵活,并恰当地称为定义层次。我们都知道这样一句话,“你不能管理你不测量的东西。” 我喜欢把它看作,被测量的东西,被完成的事情!这就是为什么我建议组织从第三级(定义的流程)转移到第四级(管理的和可测量的)或潜在的第五级(优化的),这样他们就可以定义、测量和优化带有认知自动化的安全操作。

转载声明

本文翻译自:SOAR: Transforming the Security Operation Center,转载链接:https://community.microfocus.com/t5/Security-Blog/SOAR-Transforming-the-Security-Operation-Center/ba-p/2684589?utm_campaign=00164297

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册