安全运营必须发展
向一群安全分析师询问网络安全方面的挑战,您可能会听到一些共同的主题:
·缺乏熟练的网络安全人才
·大量的安全警报
·要管理的安全点产品太多
·这些产品之间缺乏互操作性
·无法随时间扩展安全性操作
·增加成本,缩小预算
·恶意软件的复杂程度不断提高
·威胁检测和响应速度慢
·考虑到这些挑战,安全团队永远感到不知所措也就不足为奇了。
·许多团队已将安全流程,自动化和响应(SOAR)工具作为补救措施。
SOAR 工具可以在团队的军火库中跨各种安全产品协调安全动作(例如调查,分类,响应),并自动执行手动重复的安全任务。 但是并非所有 SOAR 工具都是一样的。 最佳 SOAR 解决方案将提供一组功能,这些功能可以彻底改变您进行安全操作的方式。 这些功能将使您能够:
·通过自动执行手动和重复任务来更智能地工作
·通过自动检测,调查和响应,更快地响应并减少停留时间。
·通过将现有的安全基础架构集成在一起来增强防御能力,从而使每个部分都可以积极参与防御。
一流的 SOAR 工具具有 10 种基本功能,可让您实现这些目标。
让我们更深入地研究以下各项功能:
# 编排
编排定义为跨不同安全工具的复杂工作流的基于机器的协调,并且是 SOAR 工具的基本功能。 当安全团队对安全事件做出响应时,他们将使用多种不同的安全工具进行响应。 每个工具在定义的工作流程中扮演不同的角色(取决于安全事件的类型)。 例如,告诉 VirusTotal 检查文件的信誉,使用防火墙阻止 IP,然后使用端点安全工具阻止可执行文件。 如果没有 SOAR 工具进行编排,安全团队将手动协调这些工作流程。 但是,SOAR 工具将通过其 API 跨所有已部署的安全工具进行集成,然后进行协调这些工具的工作流程可检测,调查或响应特定的安全事件。 相比之下,如果您的安全工具是组成交响乐团的乐器,那么 SOAR 工具就是指挥,请确保每个乐器都按时同步播放。在评估 SOAR 工具时,业务流程功能应从头到尾指导并监督与给定安全方案有关的所有活动。 它应该能够从任何数据源以任何格式提取安全数据。 它应该能够接收推送到平台的数据,并且必须具有轮询数据源并将数据吸收到平台中的能力。 此外,协调器应确保正确解析,标准化和构造来自一个动作的输出数据,以便将来的动作可以使用它。
# 自动化
自动化被定义为使用 “剧本” 在机器上执行手动的,相互依赖的安全操作。换句话说,这是大多数 SOAR 工具的主力军。当协调器实现跨安全工具的集成和协调时,剧本会自动以特定顺序执行每个安全工具中相互依赖的操作,而无需人工干预。 对于大多数安全分析师而言,他们的日子充满了太多重复性和令人麻木的安全任务或动作。这些动作由团队手动执行。使用剧本的自动化应该允许安全团队在几秒钟内执行这些动作的集合,而手动执行则只需数分钟或数小时。例如,网络钓鱼调查可能需要在四到五个不同的安全工具中使用多个操作,并且如果手动完成,则大约需要 40 分钟才能执行,现在,使用自动剧本不到一分钟。这样,SOAR 工具可以大大减少平均检测时间(MTTD)和平均响应时间(MTTR)。剧本应该易于创建和修改。 SOAR 工具中的自动化编辑器是分析师或经理将他们的过程编入自动化剧本的地方。 编辑器应允许源代码编辑和可视化编辑。 这样一来,所有安全团队成员,无论偏好如何或编码专业知识,以构建全面而复杂的剧本。 在可视化编辑器中构造剧本时,应实时生成最终的剧本源代码,并让作者可以访问 - 在可视化和源代码编辑器之间进行无缝切换和编辑。 视觉剧本编辑器应该直观且用户友好,并提供一个可以在其中构建视觉剧本的画布。 使用块和其他形状为了表示剧本中有意义的步骤,用户应该能够构建一个剧本,以一对一,一对多或多对一的方式连接动作,以决定执行顺序。 每个形状应代表不同的动作执行,平台 API 调用,条件语句(如果/则),人工交互提示和分支语句。 通过单击每个形状,您可以手动输入动作或参数,或从列表中选择它们。 而且,先前操作执行所产生的新信息应可用作下游操作或决策块的输入或参数。
# 事件和警报管理
数据摄取之后,SOAR 工具中的事件和警报管理功能应将入站事件和警报排入队列并确定优先级。 这将使警报能够快速消耗并有效地采取行动,而无需进行大量搜索或在上下文之间进行切换。 事件和警报应包括状态指示器(例如,新建,打开或关闭),严重性指示器和以颜色编码的灵敏度指示器,以促进信息的快速消耗。 应该组织安全事件或警报的技术属性,以便快速了解安全方案。 这包括 IP,域,文件,用户名和电子邮件地址等数据的组织视图。 安全分析师应该能够针对此数据无缝地发布调查,遏制或响应操作(或操作集合,即剧本)。 最后,SOAR 工具应提供全面的活动日志,该日志显示针对事件或警报执行的所有操作的记录,无论这些操作是手动启动还是通过剧本启动。 每个动作应显示其结果,包括动作成功或失败的指示器。
# 案例管理
确认或升级警报或事件后,案例管理组件应接管并推动从创建到解决的更广泛的跨功能生命周期。 SOAR 工具将处理多个事件,然后将它们确认,汇总并升级为单个案例。 案例管理界面应支持将相关的技术数据(例如警报的源数据和操作结果)附加到案例。 该界面还应该支持附加相关的非技术性数据,例如便笺,便笺,电子邮件,屏幕截图,录音或与案例相关的任何其他任意文件。 对案例的任何更改都应记录在审核跟踪中,并且可以导出。 此外,还应该可以从剧本中自动将信息附加到案件。 案例管理还应该轻松映射到组织的现有流程。 许多组织已经开发了用于事件响应的标准操作程序(SOP)。 案例管理功能应使用户能够根据流程定义阶段并将其保存为模板。 用户应具有将 SOP 分为多个阶段的能力,其中每个阶段都有一个或多个任务,并且可以为每个任务分配一个所有者。 该界面应提供案件进度以及案件状态的指示器。
# 合作
安全是一项团队运动。 分析师必须相互协作才能对安全事件做出快速响应。 您的团队之间的联系和同步程度越高,他们保护组织的速度就越快,效率越高。 因此,同类最佳的 SOAR 工具应包括内置的协作功能。 协作功能(如集成聊天)以及附加和共享案例记录的功能应与调查或响应工作流一起使用,以提供上下文内协作。 通过与事件,警报和案例信息一起进行实时聊天和注释,分析人员可以达到一定程度的态势感知,从而可以高效,快速地解决安全事件。 这也创建了简单的审核线索。 捕获和组织这种协作的记录以及相关的事件数据和已记录的操作是理想的选择。 如果您的通讯是在外部工具上进行的,并且与 SOAR 工具中的工作流信息分开,那并不是那么容易。
# 指标和报告
安全团队必须能够轻松地衡量其安全操作的状态,并随着时间的推移不断进行改进。 因此,任何 SOAR 工具都必须具备可靠的指标和报告。 他们帮助安全团队了解自动化等功能对生产力的影响,并确定可以在何处进行改进以提高 ROI。
#WHITE PAPER
自动化用于提高 SOC(安全运营中心)的多种功能的运营效率。 了解自动化提供的定量性能提升和资源节省,并通过 SOAR 工具中的仪表板随时获得此信息至关重要。 SOAR 平台上应提供的关键绩效指标示例包括平均解决时间(MTTR),平均停留时间(MDT),通过自动执行节省的分析师工作时间,通过自动执行获得的全职当量(FTE)数量,平均值 每次运行手册所节省的时间,节省的资金(FTE 成本 x FTE 获得的费用),打开警报的总数,每天(小时,周,月)打开和关闭的警报以及根据服务水平协议(SLA)的效果。 所有这些先前的信息都应易于组织并汇总到高级管理人员 和 CISO 的报告中,以快速了解其安全操作的总体状态(以及 SOAR 工具正在推动的改进)。
# 流动性
SOAR 平台旨在缩短响应时间。 为了获得快速响应,当案件或安全提示需要人工干预时,安全分析人员需要可及。 但是,分析师并不总是坐在笔记本电脑打开时坐在办公桌前,随时可以回答提示。 因此,对于 SOAR 平台来说,从分析师的移动设备的便利性出发提供访问,交互性和对该平台的控制非常重要。 这样,分析人员可以在旅途中运行剧本,无需笔记本电脑即可查看安全工件和分类事件,可以从手掌中响应提示,无论是否在办公桌前始终可以与他们联系。
# 可扩展性
随着组织的发展,SOAR 工具应与您一起发展。 随着时间的推移添加更多的用例,平台上将承担更多的处理负载。 重要的是要了解自动化引擎将如何垂直和水平缩放。 预计随着时间的推移,用户将使更多的用例自动化。 对于每个其他用例,自动化引擎上都会有额外的处理负载。 自动化引擎的设计应允许垂直扩展(例如,增加 CPU 和 RAM 资源)和水平扩展(例如,增加服务器实例)以提高性能并保护自动化投资回报(ROI)。
# 开放和可扩展
SOAR 平台的设计应具有开放性和可扩展性。 它应该轻松支持合并新的安全方案,新产品,新操作和新剧本。 没有它,SOAR 平台会随着时间的流逝而失去其价值。 通过遵循通用标准和编程模型的开放式集成生态系统,安全团队可以利用一些好处。 新技术可以快速集成到平台中,而无需对核心平台进行任何修改,也不会对自动剧本产生负面影响。 用户无需 SOAR 供应商的许可或开发周期即可开发对其他集成的支持。 例如,他们可以编写自己的集成,开发本地应用程序或编写供应商提供的早期访问 API。
# 社区共享
安全性的不断发展,促使需要一个由专业人员组成的社区,他们需要共同努力,以共享剧本,最佳实践和策略来应对最新威胁。 因此,SOAR 工具必须支持强大的社区模型,并易于共享应用程序集成和剧本。 评估平台的安装基础,以评估其相关社区的协作潜力。 庞大而活跃的用户社区使您可以共享剧本,应用程序或为新的自动化用例集思广益。 此外,供应商在社区中的参与是他们对两者所做的承诺的有力指标。社区和协作。 为了促进思想交流,SOAR 供应商应该提供社区沟通工具,例如 Slack,该工具可以为技术支持和问题提供组和直接消息传递。 其他传播新思想的交流工具包括:社区用户的 Github 页面(个人在该页面上发布他们的作品)以及一个集中的社区资源库,该资源库承载用户演示文稿,博客,社区剧本,贡献的应用程序集成和常规文档。
文章来源于 splunk.com,翻译来自杜晨晨