充分了解自动化的陷阱有助于制定最佳实践并提供更广泛的背景。认识到自动化需要时间,不是 “容易解决的问题”,不是免费的,并且不会导致裁员,这对组织准备工作大有帮助。当您学习如何为您的团队、您的流程和您的组织优化它时,自动化之旅通常感觉像是前进了两步和后退了一步。
但是自动化的好处是值得付出努力的。降低数据泄露的平均成本是安全自动化有效性的一个具体例子。根据 Ponemon Institute 最近的一项研究,与没有安全自动化的组织相比,完全部署安全自动化的组织在数据泄露方面平均节省了 358 万美元的成本。在过去几年中,安全自动化的影响不断增加,证明了它的好处。
掌握了自动化的现实并渴望从中获益,您可能已准备好采取下一步行动。以下是基于多年与客户合作的最佳实践,可应用于自动化旅程中的任何地方。
自动化最佳实践
当您开始考虑实施自动化并将其整合到您的日常运营中时,作为包括动态工作流、案例管理、威胁情报和编排在内的更广泛 SOAR 战略的一部分,全面思考以最大限度地提高自动化的影响是很重要的。正是这些功能与自动化相结合,使公司能够充分受益。
自动化是一场马拉松,而不是短跑。从一开始就认识到自动化是一个需要时间和资源投资的旅程,这一点很重要。例如,安全团队通常倾向于选择大量用例作为自动化的初始起点,尽管这可能会让人不知所措。相反,尝试使用数量较少的用例,以便团队可以更轻松地学习。这将有助于清楚地识别学习并为更广泛的用例奠定基础。
建立工作流之间的关系。随着旅程的进展和自动化的成熟,安全团队可以开始在多个工作流中扩展自动化。例如,恶意软件工作流可以是独立的,但它也可以是更广泛的网络钓鱼事件响应的一部分,将恶意软件工作流嵌入到更广泛的网络钓鱼工作流中。勒索软件的相似之处在于它既可以是独立的工作流程,也可以是更广泛的工作流程的一部分。虽然独立处理这些工作流可能很诱人,但将它们结合起来将有助于加快响应时间并最大限度地提高自动化程度。此外,一旦工作流存在,就可以集中进行更改,从而有助于简化正在进行的维护并降低复杂性。
在整个组织中利用自动化。 自动化在 IT 和组织的其他部分被大量使用。安全团队应该利用来自 IT 及其他领域同事的自动化投资和集成。自动化可以扩展到网络、身份管理、多云和整个基础设施的许多其他部分。安全团队应通过与同事联系并重新利用这些集成来避免重新发明轮子。它们已经针对您的特定基础架构进行了调整,可以帮助获取在调查和丰富事件期间所需的数据。
开发单一的指标视图。对事件响应流程绩效的可见性对于了解计划的当前状态以及存在差距和改进领域的地方至关重要。例如,了解平均响应时间 (MTTR) 的趋势可以帮助指出哪些团队可能需要帮助,以及流程的哪些部分可能需要改进。此外,指标提供了一种传达安全重要性及其对业务影响的方法。随着安全团队及其事件响应流程的成熟,指标可以发展并扩展到技术指标之外,可以传达安全对业务的影响。正是通过这些指标,最好的 SOAR 部署可以改变安全与其他业务的关系,促进更好的理解、信任和通常的投资。
战略性地实现自动化
很容易理解自动化的诱惑。安全团队可能会因手动重复性任务而陷入困境,缺乏熟练的员工,并且正在争分夺秒地修复安全事件。但是,在开始和遵循最佳实践之前了解自动化的现实将有助于确保自动化的成功。此外,作为由 SOAR 支持的更大事件响应策略的一部分,战略性地接近自动化将大大提高安全团队的效率,加速事件响应并最大限度地降低业务风险。
转载声明
原文链接:https://securityintelligence.com/posts/leverage-automation-soar-successfully/