安全运营中心 (SOC)在转变为检测和响应组织时在数据、系统和人员方面面临着诸多挑战。所需的关键要素包括相关和优先的数据、跨系统的双向集成以及被动和主动协作。而能够将这一切结合在一起的是自动化,特别是在安全人员短缺的情况下。
目前出现了新的产品类别来应对自动化挑战,包括安全编排、自动化和响应 (SOAR) 平台和工具以及扩展检测和响应 (XDR)解决方案。但事实是,安全行业的自动化方法忽略了检测和响应用例的巨大不同需求,因为重点一直放在定义流程和自动化完成该流程所需的步骤上。如果您在静态环境中一遍又一遍地做同样的事情,那效果很好。但是对于动态和可变的检测和响应,情况并非如此。从执行操作中学到的东西远比操作本身重要,因此您需要查看流程的输入和输出。
举个例子,精英运动员知道如何进行他们选择的运动,当他们参与到这个过程中时,肌肉记忆发挥了作用,推动他们更快更顺利地完成动作。但是,饮食、运动和环境对表现有着巨大的影响,从结果中学习也是如此--观看和分析录像带,并结合教练的反馈意见,以便进行调整和改进。最终,运动员会出现高原反应,团队会陷入困境。为了使他们的表现更上一层楼,他们会根据数据和学习结果对输入做出更多的改变。因此,输入和输出推动了整个过程,并促进了预期结果。
这就是我们需要思考的自动化问题,以加速现代SOC运作的检测和响应。自动化不能只是运行过程,而必须包括三个重要阶段:
(1) 输入:定义应该对其采取什么行动以及这些行动应该何时发生。
(2) 运行:执行行动过程或定义的流程,直至完成。
(3) 输出/反馈:记录所学到的用于分析和改进未来响应的内容。
为了进一步细分,输入涉及确定正确的标准和触发程序。这首先是将正确的内部数据自动汇总到一个中央存储库,这样分析师就可以全面了解他们所面临的威胁以及他们必须防御的东西。分析师可以利用他们订阅的多种来源的威胁数据(商业、开源、政府、行业、现有安全供应商)以及MITRE ATT&CK等框架,自动增强和丰富这些数据。结合和关联内部和外部数据,并应用自动评分框架,使你能够根据与你的组织相关的内容,优先采取什么行动。
有了正确的输入,现在您可以简化采取的行动并运行正确的流程。您可以专注于对您的组织真正重要的事情,而不是浪费时间运行对最新威胁没有必要或无效的流程。您可以将正确的智能部署到正确的工具上,立即自动更新您的传感器网格并减轻大部分手动和分散的工作。这种数据驱动的过程可以实现高效和有效的响应。
最后,对于检测和响应,执行动作时的输出和反馈远比动作本身重要。定义您想要的结果以及应该从所采取的行动中学到什么将改善未来的响应并有助于加强对未来类似威胁的保护。随着新数据、反馈和学习添加到平台,智能会自动重新评估和重新确定优先级,从而使自动化的输入阶段更加高效。
由于安全人才紧缺以及需要进行检测和响应等高级安全操作,自动化是一项关键战略。但为了效率和有效性,自动化必须采用数据驱动的方法,包括我们如何启动响应并从中学习,而不仅仅是我们如何执行流程。这就是我们如何释放安全自动化的全部力量。