安全运营中心自动化究竟是好还是坏?

安全运营中心自动化究竟是好还是坏?

黑帽SEO访客2021-10-11 18:11:004232A+A-

如今,许多安全运营中心(SOC)都在面临着同样的困境——警报太多,而处理它们的人员却又太少。随着时间的推移,这种问题将会变得更加严重,因为生成警报的设备数量的增长速度,要远远快于可用于分析它们的人员数量的增长速度。如此一来,真正重要的警报可能就会淹没其中,得不到响应。

大多数企业认为应对这个问题只有两种解决方案:即减少警报数量,或是增加人员数量。幸运的是,还有第三种选择:自动化。它可以极大地提高分析师的时间效率,用更少地时间完成更多的工作量。

传统意义上,人们习惯将自动化视为“不全则无”(all-or-nothing)的主张。但是,如今时代已经发生了变化。企业可以在事件响应过程中的各个位置实施自动化,帮助分析人员从繁复的任务中解脱出来,同时保持他们对警报监视和响应的人为控制。其最终目标应该是,在自动化可以处理的低风险和人为应对的高风险之间取得平衡。

但是,在部署某种程度的SOC自动化之前,应该认真考虑以下几点问题:1)组织是赢了还是输了网络战争?2)如果是赢了,它是否具备正确的工具来持续这种状态?3)如果是输了,它应该怎么做?

不过,无论组织是赢了还是输了网络战争,理解自动化的优缺点对于任何项目的成功与否都是至关重要的。

自动化的优点

自动化在低影响(low-impact )环境中通常备受青睐,但是由于误报可能导致的负面影响,其在诸如公用事业和医疗保健等高影响(high-impact)环境中一直备受质疑。

SOC自动化的主要优点包括:

  • 对警报和ticket的响应更一致;
  • 对于ticket关闭和事件响应量更大;
  • 提高对正在发生问题的可视性;
  • 覆盖面积更大,ticket数量更多。

自动化的缺点

没有什么比处理假阳性(即误报)更令人烦恼的了,所谓假阳性就是系统将合法活动标识为恶意攻击行为。在某些行业中,误报会破坏业务流程,造成收入损失、工业组织停工等后果,在医院环境中,这种误报甚至会危及生命。

SOC自动化的主要缺点包括:

  • 关闭操作;
  • 产生误报,导致采取错误的举措;
  • 自动化处理本该手动处理的 ticket;
  • 关键信息或数据丢失;
  • 做出错误或不恰当的决定。

自动化的最佳实践

过去,公司通常会因为考虑到自动化的潜在缺点,而最终选择放弃它,因为他们认为这样做更安全。然而,如今,越来越多的企业已经意识到,如果他们没有实现某种程度的自动化,会增加其错失标记攻击行为的机会,这种情况所造成的损失,可能会比实施自动化所带来的潜在负面影响更为沉重。

鉴于这种情况,安全从业人员应该考虑采用以下自动化最佳实践措施:

1. 创建一个全面的战略

该计划应该旨在解决以下关键问题:

  • 哪些区域产生的警报最多?
  • 什么样的警报类型占据了分析师大部分的时间?
  • 哪些响应是非常有条理的,以及哪些警报分析师可以用可预测的方式做出响应?
  • 是否可以使用自动化剧本(playbook)来处理某些事件?

2. 采取一种经过实测的方法

安全的关键规则之一就是始终避免极端事件。例如,“自动化一切”可能会招致一堆蠕虫,然后迫使安全管理人员通过指责分析师来证明这一做法是正确的,他们会声称是由于分析师来不及分析ticket才导致的问题。

通过自动化人力密集型、高度重复型任务来实现平衡,将分析师从繁复的任务中解放出来,有精力实现更为重要的职能,这是一个非常好的起点。自动化应该允许公司提高SOC效率,同时保持可接受的风险水平——无论是在运营方面还是安全方面。

诀窍在于管理和控制误报,而不是妄图消除误报。

3. 了解不需要自动化而需要人工分析的任务

其主要包括影响如下系统的警报:

  • 关键应用程序或系统;
  • 业务流程、财务和运营系统;
  • 包含大量敏感数据的系统;
  • 大规模攻击指标。

结论

由于网络攻击对手也在利用软件和硬件来开发和实施攻击,威胁的演变速度和复杂性正在急剧上升,对于SOC自动化的需求也在随之增长。想要跟上程序化攻击的步伐,不可避免地需要自动化某些SOC功能和流程。遵循上述列出的建议,可以帮助确定应该自动化和不应该自动化的内容,以便发挥自动化的最大功效。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 边侣冢渊2022-06-08 16:24:05
  • 消除误报。3. 了解不需要自动化而需要人工分析的任务其主要包括影响如下系统的警报:关键应用程序或系统;业务流程、财务和运营系统;包含大量敏感数据的系统;大规模攻击指标。结论由于网络攻击对手也在利用软件和硬件来开发和实施攻击,威胁的演变
  • 孤央鸠魁2022-06-08 17:26:19
  • act)环境中一直备受质疑。SOC自动化的主要优点包括:对警报和ticket的响应更一致;对于ticket关闭和事件响应量更大;提高对正在发生问题的可视性;覆盖面积更大,ticket数量更多。自动化的缺点没有什么比处理假阳性(即误报)更令人烦恼的了,所谓假阳性就是系统将合法活动标识为恶意攻击行为

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理