当自动化平衡人与机器时,它确保团队始终拥有完成工作的最佳工具。随着安全运营中心(SOC)缩小其任务重点,成为检测和响应组织需要三个主要能力来为未来的SOC做好准备。当安全由数据驱动时,团队可以专注于相关的高优先级问题,做出最佳决策并采取正确的行动。数据驱动的安全性还提供了一个持续的反馈循环,因此团队可以捕获和使用数据来改进未来的分析。开放式集成架构使数据能够在整个基础架构中流动,并确保系统和工具可以协同工作。SOC的第三个组成部分是自动化。有些人谈论自动化是SOC中的一切。然而,这可能会带来许多挑战。需要一种平衡的自动化方法,因为如果没有运行它们的专家分析师,SOC就什么都不是。平衡自动化与人类智能和分析使团队能够始终拥有完成工作的最佳工具。重复、低风险、耗时的任务是自动化的主要候选者,而人类分析师领导不规则、高影响、时间敏感的调查,其中自动化简化了一些工作。平衡自动化的好处有很多,包括保留和更好地利用稀缺的高技能人力资源,以及更快、更智能地工作的更好结果。当机器隔离系统或错误地阻止防火墙上的端口时,人与机器之间的平衡也减轻了被烧毁的恐惧。反过来,这会建立信心以进一步实现自动化并为组织取得适当的平衡,从而带来另一个好处——成本节约。2021年数据泄露成本报告按安全自动化部署级别查看了数据泄露的平均成本,结果令人大开眼界。数据泄露的平均成本从没有安全自动化的组织的671万美元下降到具有一些安全自动化的组织的385万美元。平衡的自动化是什么样的?任何关于网络安全未来的讨论都必须包括自动化,但SOC中的平衡自动化是什么样的?它在安全操作的所有阶段都发挥作用。检测。对手变得更加狡猾,并改变了他们的策略来实现他们的目标。因此,检测已经从寻找触发攻击的一个控制点或系统演变为涉及整个企业的多个点——时间至关重要。借助开放式集成框架,来自不同内部来源的数据可以自动聚合、扩充和丰富来自组织订阅的多个来源(商业、开源、政府、行业和现有安全供应商)的外部威胁数据。当所有这些数据都显示在一个屏幕上并根据安全团队设置的参数进行优先级排序时,分析师可以更轻松、更快速地识别关系并检测整个企业的恶意活动。调查。自动化检测的许多初始和重复方面可以加快调查过程,而调查过程最好由人类驱动。通过将直觉、记忆、学习和经验引入流程,分析师将相关数据与丰富的内部和外部来源相关联,例如受影响用户的身份和MITREATT&CK框架。例如,如果目标包括财务部门、人力资源或高层管理人员,这可能表明存在更严重的威胁。从那里,他们可以转向描述活动、对手及其战术、技术和程序(TTP)的MITREATT&CK等外部数据源,以了解有关恶意软件的更多信息,然后进一步扩大搜索范围。如果他们找到与特定活动或对手相关的指标,是否有相关的工件可以在其他工具中查找以确认是否存在恶意活动?还有哪些其他情报可以部署到基础设施以供将来拦截?复杂性调查需要通过自动化进行人工增强。这是验证数据和调查结果、连接点并揭示包括所有受影响系统而不是单个系统上的单个事件的更广泛画面的最有效和最有效的方法。回复。SOC现在已准备好执行完整响应。在这里,某些方面也可以自动化,例如将数据转换并发送回防御网格中的工具以更新策略、规则和签名。但是,根据安全控制和建议的响应,人们有时需要在执行之前在自己的环境中审查和验证建议。当涉及到关键的遗留系统时,例如那些在工业环境中普遍存在的遗留系统,人类必须经历整个过程以确保没有任何行动对运营产生影响,如果有,则确定并实施补偿控制。作为一个闭环,现代响应方法还必须包括从响应中捕获和存储数据以进行学习和改进的能力。当有意识地在人与机器之间平衡自动化时,我们可以确保团队始终拥有完成工作的最佳工具。当与开放集成框架支持的数据驱动的安全方法相结合时,SOC拥有更高效、更彻底地工作以更好地管理当前和未来风险所需的基础。
