看看這7項(xiàng)安全工作你自動(dòng)化了沒有
2018年11月06日
各個(gè)行業(yè)都開始認(rèn)識(shí)到了自動(dòng)化的價(jià)值����,意識(shí)到了在自身安全基礎(chǔ)設(shè)施中實(shí)現(xiàn)自動(dòng)化的必要性���。然而���,除了能快速行動(dòng)和節(jié)約員工時(shí)間����,公司企業(yè)對(duì)自動(dòng)化有用性的認(rèn)識(shí)卻還不足夠���。
自動(dòng)化不僅僅是將簡(jiǎn)單的人類操作變成機(jī)器的自動(dòng)過程�����,公司企業(yè)有各種各樣的方式可以從投資自動(dòng)化工具中獲益�����,比如能自動(dòng)化應(yīng)用到事件響應(yīng)和事件管理生命周期很多方面的安全編排�����、自動(dòng)化及響應(yīng)(SOAR)解決方案��。
公司企業(yè)想要節(jié)約事件響應(yīng)及安全調(diào)查流程中寶貴的時(shí)間�,改善公司整體網(wǎng)絡(luò)安全態(tài)勢(shì)�,就應(yīng)自動(dòng)化以下7個(gè)過程�。
1. SIEM升級(jí)
安全警報(bào)來自很多來源��,但大企業(yè)中����,大多數(shù)事件起于SIEM。從SIEM到SOAR的過濾過程可以通過自動(dòng)化警報(bào)升級(jí)的標(biāo)準(zhǔn)來增強(qiáng)�����。將精心挑選的升級(jí)規(guī)則與自動(dòng)化情報(bào)收集結(jié)合���,分析師便可專注重大事件,且能獲得完整的上下文�,而不用每天忙于從成百上千的警報(bào)中篩選出真正的威脅。
2. 信譽(yù)查找
通過自動(dòng)化節(jié)省時(shí)間的最大機(jī)會(huì)�,就是收集上下文數(shù)據(jù)以幫助分析師評(píng)估威脅。比如說�����,如果一封郵件被標(biāo)記為潛在網(wǎng)絡(luò)釣魚嘗試�����,SOAR平臺(tái)可自動(dòng)查找郵件中URL的信譽(yù),檢查該域名擁有者的地理位置��,調(diào)查與已知攻擊者的連接等等��。如果沒有自動(dòng)化�,分析師就不得不轉(zhuǎn)到其他應(yīng)用,手動(dòng)查找這些信息�����,有時(shí)候一天之中這種被迫手動(dòng)查找的行為甚至?xí)噙_(dá)上百次�。
3. 風(fēng)險(xiǎn)評(píng)分
承接升級(jí)與豐富事件的過程,SOAR平臺(tái)還可以再加一層自動(dòng)化以幫助分析師快速確定需投以關(guān)注的事件��。通過參照自定義的標(biāo)準(zhǔn)比較威脅情報(bào)���、鏈接分析和其他上下文數(shù)據(jù)以產(chǎn)生風(fēng)險(xiǎn)評(píng)分�,自動(dòng)化可被用于將事件以正確的優(yōu)先級(jí)分配給合適的分析師���,比如將誤報(bào)率高的事件挪到事件隊(duì)列尾部�。
4. 封鎖用戶
自動(dòng)化最有益的應(yīng)用之一就是比人類分析師更快動(dòng)作����。這在限制事件影響上非常有用����?���?赏ㄟ^自動(dòng)化加速的安全動(dòng)作的例子中包括禁用與事件有關(guān)的用戶權(quán)限。如果某用戶賬戶被標(biāo)記為有可疑行為����,比如在非正常時(shí)間登錄或試圖訪問敏感系統(tǒng),立即禁用該賬戶是防止數(shù)據(jù)泄露的最佳機(jī)會(huì)�����。
5. 指導(dǎo)調(diào)查
以上都是自動(dòng)化的常見用例���,但還有些不那么為人所知的用法,比如用自動(dòng)化來引導(dǎo)調(diào)查人員執(zhí)行調(diào)查流程���。制定手冊(cè)并內(nèi)建自動(dòng)化步驟很常見����,但自動(dòng)化還可應(yīng)用到深度調(diào)查中以保證調(diào)查人員不走偏。這一點(diǎn)對(duì)經(jīng)驗(yàn)等級(jí)組成涵蓋很廣的團(tuán)隊(duì)就很有用���,因?yàn)閮?nèi)部經(jīng)驗(yàn)���、行業(yè)最佳實(shí)踐以及地區(qū)性合規(guī)要求都可以構(gòu)建到調(diào)查工作流中。這么做可以確保即便調(diào)查人員不熟悉不同司法轄區(qū)或不同事件類型的要求��,也能采取正確的步驟��。
6. 報(bào)告閾值
經(jīng)理��、高管和其他利益相關(guān)者需擁有安全過程可見性���,但安全團(tuán)隊(duì)的時(shí)間精力不應(yīng)該花在填寫并發(fā)送常規(guī)報(bào)告上��。利用自動(dòng)化���,便可以設(shè)置觸發(fā)報(bào)告的閾值,比如有太多待處理事件或者有人錯(cuò)過了重要的截止期時(shí)�����。
7. 通知與任務(wù)分配
自動(dòng)化不僅僅是加快動(dòng)作����,還可以用于協(xié)調(diào)安全團(tuán)隊(duì)的人力與過程�。與設(shè)置自動(dòng)化報(bào)告閾值類似����,自動(dòng)化工具可被用來設(shè)置自動(dòng)化通知與任務(wù)分配的標(biāo)準(zhǔn)。比如說�,有待完成任務(wù)或截止期臨近等情況都可以自動(dòng)向分析師發(fā)送通知,或者如果有需經(jīng)審批的任務(wù)也可以自動(dòng)分配給法律團(tuán)隊(duì)處理����。
總結(jié)
與其他任何工具一樣,自動(dòng)化也應(yīng)審慎應(yīng)用�。自動(dòng)化顯然能給安全團(tuán)隊(duì)帶來價(jià)值,但該價(jià)值的大小完全取決于你的自動(dòng)化方式貼合你首要需求����、現(xiàn)有安全基礎(chǔ)設(shè)施及組織程序的程度�����。以上僅僅是自動(dòng)化應(yīng)用的一些樣例�����,業(yè)界創(chuàng)新發(fā)展如此之多如此之快,完全可以花點(diǎn)時(shí)間思考還有哪些自動(dòng)化過程可以為你的公司帶來價(jià)值�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)���、動(dòng)漫設(shè)計(jì)、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”���、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案,業(yè)務(wù)涵蓋咨詢��、評(píng)估�����、規(guī)劃���、管控���、建設(shè)、培訓(xùn)等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
