各个行业都开始认识到了自动化的价值,意识到了在自身安全基础设施中实现自动化的必要性。然而,除了能快速行动和节约员工时间,公司企业对自动化有用性的认识却还不足够。
自动化不仅仅是将简单的人类操作变成机器的自动过程,公司企业有各种各样的方式可以从投资自动化工具中获益,比如能自动化应用到事件响应和事件管理生命周期很多方面的安全编排、自动化及响应(SOAR)解决方案。
公司企业想要节约事件响应及安全调查流程中宝贵的时间,改善公司整体网络安全态势,就应自动化以下7个过程。
1. SIEM升级
安全警报来自很多来源,但大企业中,大多数事件起于SIEM。从SIEM到SOAR的过滤过程可以通过自动化警报升级的标准来增强。将精心挑选的升级规则与自动化情报收集结合,分析师便可专注重大事件,且能获得完整的上下文,而不用每天忙于从成百上千的警报中筛选出真正的威胁。
2. 信誉查找
通过自动化节省时间的最大机会,就是收集上下文数据以帮助分析师评估威胁。比如说,如果一封邮件被标记为潜在网络钓鱼尝试,SOAR平台可自动查找邮件中URL的信誉,检查该域名拥有者的地理位置,调查与已知攻击者的连接等等。如果没有自动化,分析师就不得不转到其他应用,手动查找这些信息,有时候一天之中这种被迫手动查找的行为甚至会多达上百次。
3. 风险评分
承接升级与丰富事件的过程,SOAR平台还可以再加一层自动化以帮助分析师快速确定需投以关注的事件。通过参照自定义的标准比较威胁情报、链接分析和其他上下文数据以产生风险评分,自动化可被用于将事件以正确的优先级分配给合适的分析师,比如将误报率高的事件挪到事件队列尾部。
4. 封锁用户
自动化最有益的应用之一就是比人类分析师更快动作。这在限制事件影响上非常有用。可通过自动化加速的安全动作的例子中包括禁用与事件有关的用户权限。如果某用户账户被标记为有可疑行为,比如在非正常时间登录或试图访问敏感系统,立即禁用该账户是防止数据泄露的最佳机会。
5. 指导调查
以上都是自动化的常见用例,但还有些不那么为人所知的用法,比如用自动化来引导调查人员执行调查流程。制定手册并内建自动化步骤很常见,但自动化还可应用到深度调查中以保证调查人员不走偏。这一点对经验等级组成涵盖很广的团队就很有用,因为内部经验、行业最佳实践以及地区性合规要求都可以构建到调查工作流中。这么做可以确保即便调查人员不熟悉不同司法辖区或不同事件类型的要求,也能采取正确的步骤。
6. 报告阈值
经理、高管和其他利益相关者需拥有安全过程可见性,但安全团队的时间精力不应该花在填写并发送常规报告上。利用自动化,便可以设置触发报告的阈值,比如有太多待处理事件或者有人错过了重要的截止期时。
7. 通知与任务分配
自动化不仅仅是加快动作,还可以用于协调安全团队的人力与过程。与设置自动化报告阈值类似,自动化工具可被用来设置自动化通知与任务分配的标准。比如说,有待完成任务或截止期临近等情况都可以自动向分析师发送通知,或者如果有需经审批的任务也可以自动分配给法律团队处理。
总结
与其他任何工具一样,自动化也应审慎应用。自动化显然能给安全团队带来价值,但该价值的大小完全取决于你的自动化方式贴合你首要需求、现有安全基础设施及组织程序的程度。以上仅仅是自动化应用的一些样例,业界创新发展如此之多如此之快,完全可以花点时间思考还有哪些自动化过程可以为你的公司带来价值。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】