当自动化平衡人与机器时,团队总是有最好的工具来完成工作
安全操作中心 (SOC) 缩小其使命的重点,成为一个检测和响应组织,需要为未来提供三种主要能力SOC做好准备。当安全性由数据驱动时,团队可以专注于相关的高优先级问题,做出最佳决策,采取正确的行动。数据驱动的安全性也提供了一个持续的反馈循环,使团队能够捕获和使用数据来改进未来的分析。开放式集成架构使数据能够在整个基础设施中流动,并确保系统和工具能够作。
SOC 的第三部分是自动化。有人说自动化 是SOC 里面的一切。然而,这可能会带来许多挑战。如果没有专家分析师操作它们,需要一种平衡的自动化方法,SOC 什么都不是。平衡自动化、人类智能和分析使团队始终拥有最合适的工具。重复性、低风险和耗时的任务是自动化的主要候选人,而人类分析师则带头进行不规则、有影响力和敏感的时间调查,简化了一些工作。
平衡自动化有很多好处,包括保留和更好地利用稀缺的高技能人力资源和更好的结果,可以更快、更聪明地工作。人机之间的平衡也可以减少机器隔离系统或错误防止防火墙端口燃烧的恐惧。另一方面,这将建立信心,进一步实现自动化,为组织实现适当的平衡,从而带来另一个好处——节约成本。2021年,数据泄漏报告的成本将根据安全自动化部署水平检查数据泄漏的平均成本,结果令人大开眼界。数据泄漏的平均成本从671万美元降至385万美元,没有安全自动化组织。
什么是平衡自动化?
未来任何关于网络安全的讨论都必须包括自动化,但 SOC 内部的平衡自动化是什么?它在安全运行的各个阶段都发挥了作用。
测试。竞争对手变得更加狡猾,并改变了策略来实现他们的目标。因此,检测从寻找触发攻击的控制点或系统发展到涉及整个企业的多个点——时间至关重要。借助开放的集成框架,来自不同内部来源的数据可以自动聚合、扩展和丰富来自组织订阅的多个来源的外部威胁数据——业务、开源、政府、行业和现有安全供应商。当所有这些数据都显示在屏幕上,并根据安全团队设置的参数进行优先级排序时,分析师可以更容易、更快地识别关系,并测试整个企业的恶意活动。
调查. 自动化检测的许多初始和重复方面加速了调查过程,最好由人类驱动。通过将直觉、记忆、学习和经验带入过程,分析师将丰富的相关数据和内部和外部资源(如受影响的用户身份和 MITRE ATT&CK 框架)是相关的。例如,如果目标包括财务部门、人力资源或最高管理层,这可能表明威胁更严重。从那时起,他们可以转向描述活动、对手及其策略、技术和程序 (TTP) 的 MITRE ATT&CK 和其他外部数据源,以了解更多关于恶意软件的信息,然后进一步扩大搜索范围。如果他们发现一个指标与特定的活动或竞争对手相关,是否有相关的工件需要在其他工具中找到,以确认恶意活动的存在?未来可以部署哪些其他智能系统进行拦截?这种复杂的调查需要自动化来增强人力。这是验证数据和调查结果、连接点和揭示更广泛的图像的最有效和最有效的方式,包括所有受影响的系统,而不是单个系统上的单个事件。
回复. 现在,SOC 已经准备好进行全面的响应。在这里,自动化也可以在某些方面实现,如翻译数据并将工具发送回防御网格,以更新策略、规则和签名。然而,根据安全控制和推荐的响应,有时需要在执行前手动检查和验证自己的环境中的建议。当涉及到关键的遗留系统(如工业环境中常见的系统)时,必须手动完成整个过程,以确保任何操作都不会对操作产生影响。如果是定并实施补偿控制。现代响应方法作为一个闭环,还必须包括从响应中捕获和存储数据以学习和改进的能力。
当自动化在人与机器之间有意识地平衡时,我们可以确保团队始终拥有完成工作的最佳工具。当与开放集成框架支持的数据驱动安全方法相结合时,SOC 有更高效、更彻底的工作,以更好地管理当前和未来的风险。