千萬不要低估SOAR
責編:gltian |2018-09-28 11:05:17將安全分析師與不同安全產品的交互加以編排和自動化,能獲得很高的投入回報。
200多年前的工業革命以來,自動化就在人類社會中扮演著重要角色。今天,自動化已與我們的日常生活密不可分,從支付賬單到制作咖啡,再到控制室溫,都要用到自動化技術。自動化的重點在于減少人類花費在繁瑣重復性勞動上的時間,以便挪出更多時間去從事高價值的活動。
每個行業都有自動化的空間,安全行業也不例外。安全人員幾十年前就在談論自動化問題,但因為一系列原因,至今尚未完全擁抱自動化技術。不過,過去幾年中,我們開始迎來一些改變。隨著安全編排、自動化及響應(SOAR)的出現與發展,自動化如今開始扎根生長了。
Gartner是SOAR這個術語的締造者和推廣者。很多安全供應商正涌入SOAR市場,其中很多關注的是事件響應(IR)戰術手冊的自動化。每個公司的安全團隊都應將縮短平均響應時間(MTTR)作為重中之重來抓,這點毫無疑問。但SOAR的涵蓋范圍遠不止如此。防御者不應自我設限到僅自動化戰術手冊上。安全運營中還有很多其他活動能受益于自動化和編排。比如以下幾個例子。
1. 檢測威脅更快速
安全有效性的重要衡量指標之一,就是安全運營檢測威脅的速度。但平均檢測時間(MTTD)削減個十來分鐘或1小時意義不大,因為很多公司往往幾個星期甚至幾個月都找不出潛藏在自己網絡中的威脅。波耐蒙研究所的《2018數據泄露損失報告》將MTTD定位在197天上。即使僅縮減5%-10%的檢測時間,也意味著能提早1星期甚至更多天來發現數據泄露事件——減少黑客可用于搞破壞的時間并降低數據泄露的損失。事實上,調查研究表明,能在100天之內發現數據泄露的公司企業,比發現時間超過100天的那些,要少損失100萬美元以上。
為更快發現威脅,公司企業采用了各種各樣的威脅情報產品。但有時候這些解決方案并不會主動推送數據,而是需要輪詢。而且,產出的數據格式也各異。將所有威脅情報快速統一成某種可用的格式,可以削減MTTD。將安全運營的這一方面加以自動化,便可加速檢測與調查,以便了解哪些東西面臨風險,如果風險等級較高,還可確定風險本質及最佳緩解辦法。
2. 優化稀缺資源
鑒于網絡安全人才短缺的情況,通過自動化來減少高級安全人員花在繁瑣事務上的時間就特別重要了。安全人員難尋,雇傭薪酬很高,還能難留得住。所以必須高效利用——能用10分鐘解決的事決不讓他們花上1小時。而且,自動化繁瑣任務還可以降低過勞和跳槽的風險。
舉個例子,安全分析師要花費大量時間在不同管理面板間切換,四處查看以找出自己所需,設置各個過濾器,關聯數據,并在各個系統間不停復制粘貼。如果沒保存下剛剛查到的數據,還得將整個過程全部重來一遍。如果能應用自動化從各個不同安全產品中拉取數據,并聚合到易于審閱的單個面板中,就能為安全分析師省下大量時間和挫敗感。將安全分析師與不同安全產品的交互加以編排和自動化,能獲得很高的投資回報。
3. 實現不可能
聽起來有點虛,但確實有些東西是人力不可及,要么因為數據是僅憑人力無法處理和消費的形式,要么單純因為數據太多了。
不妨設想一下多個產品不能直接互通而需要中間轉換過程的情況。一個典型的例子就是公司訪客在會議現場需要無線連接時的處置。面對這種情況,大多數時候都是讓他們共享無線連接來賓賬戶,但這里面存在一個責任問題。如果你發現某種行為讓公司陷入風險之中——無論該行為是惡意的還是無意的,你都很難,甚至無法確定其來源。而若將物理安全所用的徽標登記系統與IT管理的無線連接來賓賬戶集成到一起,再編排及自動化登錄過程,你就可以消除掉這一責任問題。
至于如何有效利用海量數據,通過編排和自動化,你可以從云端收集威脅情報,將之轉譯成可用格式并創建新的黑名單。然后就能基于該最新的威脅情報重新配置防火墻,無需人工干預即完成主動安全強化。
上面這些例子中你都在用SOAR來改善安全運營——無論是更快地檢測威脅、更好地利用安全人員,還是將不可能變為可能。加速事件響應確實很重要,但SOAR的用處遠不止這個。