安全運(yùn)營(yíng)中心自動(dòng)化究竟是好還是壞�����?
2018年06月01日
如今��,許多安全運(yùn)營(yíng)中心(SOC)都在面臨著同樣的困境——警報(bào)太多�,而處理它們的人員卻又太少。隨著時(shí)間的推移����,這種問題將會(huì)變得更加嚴(yán)重,因?yàn)樯删瘓?bào)的設(shè)備數(shù)量的增長(zhǎng)速度��,要遠(yuǎn)遠(yuǎn)快于可用于分析它們的人員數(shù)量的增長(zhǎng)速度��。如此一來(lái)�����,真正重要的警報(bào)可能就會(huì)淹沒其中����,得不到響應(yīng)���。
大多數(shù)企業(yè)認(rèn)為應(yīng)對(duì)這個(gè)問題只有兩種解決方案:即減少警報(bào)數(shù)量,或是增加人員數(shù)量�����。幸運(yùn)的是�,還有第三種選擇:自動(dòng)化。它可以極大地提高分析師的時(shí)間效率��,用更少地時(shí)間完成更多的工作量�����。
傳統(tǒng)意義上��,人們習(xí)慣將自動(dòng)化視為“不全則無(wú)”(all-or-nothing)的主張�。但是,如今時(shí)代已經(jīng)發(fā)生了變化�����。企業(yè)可以在事件響應(yīng)過程中的各個(gè)位置實(shí)施自動(dòng)化��,幫助分析人員從繁復(fù)的任務(wù)中解脫出來(lái)�����,同時(shí)保持他們對(duì)警報(bào)監(jiān)視和響應(yīng)的人為控制���。其最終目標(biāo)應(yīng)該是���,在自動(dòng)化可以處理的低風(fēng)險(xiǎn)和人為應(yīng)對(duì)的高風(fēng)險(xiǎn)之間取得平衡。
但是��,在部署某種程度的SOC自動(dòng)化之前����,應(yīng)該認(rèn)真考慮以下幾點(diǎn)問題:1)組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)?2)如果是贏了,它是否具備正確的工具來(lái)持續(xù)這種狀態(tài)?3)如果是輸了��,它應(yīng)該怎么做?
不過�����,無(wú)論組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)���,理解自動(dòng)化的優(yōu)缺點(diǎn)對(duì)于任何項(xiàng)目的成功與否都是至關(guān)重要的���。
一���、自動(dòng)化的優(yōu)點(diǎn)
自動(dòng)化在低影響(low-impact )環(huán)境中通常備受青睞,但是由于誤報(bào)可能導(dǎo)致的負(fù)面影響����,其在諸如公用事業(yè)和醫(yī)療保健等高影響(high-impact)環(huán)境中一直備受質(zhì)疑。
SOC自動(dòng)化的主要優(yōu)點(diǎn)包括:
對(duì)警報(bào)和ticket的響應(yīng)更一致;
對(duì)于ticket關(guān)閉和事件響應(yīng)量更大;
提高對(duì)正在發(fā)生問題的可視性;
覆蓋面積更大����,ticket數(shù)量更多。
二��、自動(dòng)化的缺點(diǎn)
沒有什么比處理假陽(yáng)性(即誤報(bào))更令人煩惱的了�����,所謂假陽(yáng)性就是系統(tǒng)將合法活動(dòng)標(biāo)識(shí)為惡意攻擊行為����。在某些行業(yè)中,誤報(bào)會(huì)破壞業(yè)務(wù)流程�,造成收入損失、工業(yè)組織停工等后果�����,在醫(yī)院環(huán)境中,這種誤報(bào)甚至?xí)<吧?/span>
SOC自動(dòng)化的主要缺點(diǎn)包括:
關(guān)閉操作;
產(chǎn)生誤報(bào)�����,導(dǎo)致采取錯(cuò)誤的舉措;
自動(dòng)化處理本該手動(dòng)處理的 ticket;
關(guān)鍵信息或數(shù)據(jù)丟失;
做出錯(cuò)誤或不恰當(dāng)?shù)臎Q定��。
三��、自動(dòng)化的最佳實(shí)踐
過去��,公司通常會(huì)因?yàn)榭紤]到自動(dòng)化的潛在缺點(diǎn)��,而最終選擇放棄它���,因?yàn)樗麄冋J(rèn)為這樣做更安全。然而�,如今,越來(lái)越多的企業(yè)已經(jīng)意識(shí)到����,如果他們沒有實(shí)現(xiàn)某種程度的自動(dòng)化,會(huì)增加其錯(cuò)失標(biāo)記攻擊行為的機(jī)會(huì)���,這種情況所造成的損失�����,可能會(huì)比實(shí)施自動(dòng)化所帶來(lái)的潛在負(fù)面影響更為沉重�����。
鑒于這種情況�����,安全從業(yè)人員應(yīng)該考慮采用以下自動(dòng)化最佳實(shí)踐措施:
1. 創(chuàng)建一個(gè)全面的戰(zhàn)略
該計(jì)劃應(yīng)該旨在解決以下關(guān)鍵問題:
哪些區(qū)域產(chǎn)生的警報(bào)最多?
什么樣的警報(bào)類型占據(jù)了分析師大部分的時(shí)間?
哪些響應(yīng)是非常有條理的���,以及哪些警報(bào)分析師可以用可預(yù)測(cè)的方式做出響應(yīng)?
是否可以使用自動(dòng)化劇本(playbook)來(lái)處理某些事件?
2. 采取一種經(jīng)過實(shí)測(cè)的方法
安全的關(guān)鍵規(guī)則之一就是始終避免極端事件�����。例如���,“自動(dòng)化一切”可能會(huì)招致一堆蠕蟲,然后迫使安全管理人員通過指責(zé)分析師來(lái)證明這一做法是正確的�����,他們會(huì)聲稱是由于分析師來(lái)不及分析ticket才導(dǎo)致的問題。
通過自動(dòng)化人力密集型�、高度重復(fù)型任務(wù)來(lái)實(shí)現(xiàn)平衡,將分析師從繁復(fù)的任務(wù)中解放出來(lái)�,有精力實(shí)現(xiàn)更為重要的職能,這是一個(gè)非常好的起點(diǎn)����。自動(dòng)化應(yīng)該允許公司提高SOC效率����,同時(shí)保持可接受的風(fēng)險(xiǎn)水平——無(wú)論是在運(yùn)營(yíng)方面還是安全方面。
訣竅在于管理和控制誤報(bào)��,而不是妄圖消除誤報(bào)���。
3. 了解不需要自動(dòng)化而需要人工分析的任務(wù)
其主要包括影響如下系統(tǒng)的警報(bào):
關(guān)鍵應(yīng)用程序或系統(tǒng);
業(yè)務(wù)流程���、財(cái)務(wù)和運(yùn)營(yíng)系統(tǒng);
包含大量敏感數(shù)據(jù)的系統(tǒng);
大規(guī)模攻擊指標(biāo)。
四�����、結(jié)論
由于網(wǎng)絡(luò)攻擊對(duì)手也在利用軟件和硬件來(lái)開發(fā)和實(shí)施攻擊�,威脅的演變速度和復(fù)雜性正在急劇上升,對(duì)于SOC自動(dòng)化的需求也在隨之增長(zhǎng)。想要跟上程序化攻擊的步伐��,不可避免地需要自動(dòng)化某些SOC功能和流程�。遵循上述列出的建議,可以幫助確定應(yīng)該自動(dòng)化和不應(yīng)該自動(dòng)化的內(nèi)容����,以便發(fā)揮自動(dòng)化的最大功效。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺(tái)建設(shè)��、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”���、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案�,業(yè)務(wù)涵蓋咨詢、評(píng)估���、規(guī)劃���、管控、建設(shè)����、培訓(xùn)等��。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
