大量警报是安全专业人员最头疼的问题之一。即使在过滤掉噪音之后,这个数字仍然远远超出安全团队的处理能力。同时,用于招聘熟练安全专业人员的预算非常少,甚至不足以让其他专业人员兼职安全工作。所以似乎只剩下一条路了,自动化。自动化响应分为三个高级级别,我们结合以下三个场景来理解:场景一:潜在的内部威胁用户组织的IT管理员账号用于登录访问和修改以前从未接触过的系统.它可能是潜在内部威胁的预警,也可能什么都不是。异常活动会触发一个剧本,该剧本向IT管理员及其移动设备上的主管发送推送通知。他们可以选择在ActiveDirectory中禁用用户帐户,或在ServiceNow中打开票证以进行进一步调查。场景2:不寻常的特权帐户访问高级管理人员的特权帐户被用于从不寻常的地理位置操纵公司信息。该事件触发了一个剧本来包含潜在威胁并通知安全团队。账户权限受到限制,推送通知被发送给安全管理员,消息被发送给安全团队以验证活动的合法性。场景3:复杂的妥协迹象一家医疗诊所的病人入院系统显示异常的PowerShell活动与已知的勒索软件攻击活动一致。该事件立即触发一个剧本来隔离受感染的主机并阻止与边缘外部资源的通信,以防止传播到其他主机。分析第一个场景是一个组织在其响应计划中探索自动化早期阶段的示例,允许在实施安全控制更改之前进行人工引导的决策。例如,禁用用户帐户。同时,进一步推进调查工作。在此阶段,组织希望确保了解资产(系统)的关键性并将其归类为自动响应工作的“关键资产”。第二种情况是一个组织开始拥抱自动化的例子。条件会触发安全控制,该安全控制会自动调整为更严格的限制,并且仍然允许用户访问内部资源,同时调查人员会验证活动的合法性。这个阶段,在调查期间执行安全控制,显然超越了“黑白”的早期自动化阶段。第三种情况是真正的自动响应。自动化系统自动执行主机和边缘层安全控制的操作,以防止传播和入侵。速度至关重要,因此没有人为的决策点。尽管将向相关方发送某种通知,以允许对受影响的系统进行进一步的取证和强化。总而言之,以上三种场景都需要采取多种行动,包括通知相关人员和调整安全控制。大多数开始实施自动响应的组织会在满足条件时通知员工,直到安全控制不会产生意外的业务中断后果。然后找到并优化需要改进的地方,逐步实现自动化。归根结底,判断一个组织是否实现了真正的自动化响应,取决于它是否对自身的安全态势感到满意,是否能够按照自己的节奏采取控制措施,平衡流程自动化和人机交互以满足其安全需求。
