SOAR资讯 【转载】SOAR 工具的主要优点以及潜在风险(Top benefits of SOAR tools, plus potential pitfalls to consider)

Alice · 2021年04月25日 · 1423 次阅读

为了确保成功采用,IT 领导者需要了解 SOAR 工具的优势以及潜在的劣势。探索优点和缺点,以及如何衡量 SOAR 的成功。

随着世界各地的组织面临着不断变化的网络安全威胁,加速安全操作,自动化和响应或 SOAR 的工具的开发已迅速增加。

根据 FBI 的《互联网犯罪投诉中心 2020 年互联网犯罪报告》,网络犯罪造成的年度损失超过 42 亿美元,并且大多数 Infosec 团队都因资源和人数有限而努力跟上。过度扩张的团队也可能已经积累了许多(通常是分散的)安全工具来遏制威胁的根源 - 必须对每个威胁进行监视,分析和分类。

SOAR 工具设计用于以下功能:

  • 安全编排连接并协调异构工具集,并定义事件分析参数和过程。
  • 自动化基于这些参数自动触发特定的工作流程,任务和分类,包括针对低风险事件的自动化步骤。
  • 响应通过使分析人员可以访问,查询和共享威胁情报的单一视图,加快了总体响应和目标响应的速度。 -在安全程序中采用 SOAR 工具有两个主要的商业动机。首先,SOAR 集中了对威胁的可见性和洞察力。其次,它同时管理更底层的事件,以支持和扩展人类分析人员。从这些上游动机流中,安全领导者必须考虑几个下游影响。

比较 SOAR 的优点和缺点

为了获得 SOAR 的好处并避免潜在的陷阱,它希望组织首先超越工具和技术。修复破坏安全文化或减轻敌对和枯竭的信息安全团队的技术不是灵丹妙药。此外,创可贴部署不会缓解缺乏安全策略,过时或拼凑的工具和信息的不足。

SOAR 的优点

尽管采用的成功可能因组织而异,但是安全领导者可以预期 SOAR 实施的以下好处:

  • 提高生产力;
  • 减少人类的繁琐和重复性工作;
  • 为人类分析师提供更具战略意义的分配;
  • 警报和分类的过程和操作效率;
  • 更快的事件响应和补救;
  • 集中和协调的多供应商安全工具和分析;
  • 增强了对不断增长的威胁形势的抵御能力。

SOAR 的缺点

为了帮助设定有关 SOAR 采用和功能的期望,请记住以下潜在的陷阱:

  • 将人员资源重定向到技术资源;
  • 对 SOAR 功能和情报的期望过度膨胀;
  • 与人工智能的潜在错误融合
  • 成功指标有限或不清楚。

SOAR 采用的注意事项

为了确保成功采用 SOAR,安全领导者需要确定工具将推进的目标,这些目标如何与更广泛的战略保持一致以及如何衡量成功。例如,编排是 SOAR 的核心功能,有助于协调多供应商的安全基础架构。该目标通常与跨大型企业安全拓扑对可见性和管理的战略需求保持一致。潜在指标不仅限于以时间为中心的度量,还可以支持供应商管理,识别冗余,分析师工作流,法规遵从性和未标识的权限或设备以及其他 KPI。连接这些点对成功与技术集成一样重要。

理解 SOAR 不仅是获得巨大效率的企业工具,而且最重要的是要成为赋予人类分析者能力的工具,这也是至关重要的。SOAR 工具通常专注于常见的安全方案和高度重复的前端步骤,例如基本警报扩展或在 Slack 上触发警报。由于 SOAR 工具无法抵御异常情况,也不是用于进行细微差别调查的工具,因此无法替代安全专家或弥补人才短缺。SOAR 的用途是通过减少与警报过载相关的人工来减轻负载并自动执行减轻风险的乏味工作。成功的采用使高技能的分析员腾出时间来专注于更具挑战性的任务,突发威胁和高风险事件。

安全组织必须以灵活,适应性强的安全态势和基础架构来应对不断增长的网络威胁。尽管任何形式的安全自动化都可以提供固有的效率,但 SOAR 技术可以通过提高人员和机器实力的结合来提高这种价值。

转载声明

本文翻译自:Top benefits of SOAR tools, plus potential pitfalls to consider,转载链接:https://searchsecurity.techtarget.com/feature/Top-benefits-of-SOAR-tools-plus-potential-pitfalls-to-consider

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册