安全运营中心(SOC)在转变为检测和响应组织时面临着许多数据、系统和人员方面的挑战。所需的关键要素包括相关和优先数据、跨系统的双向集成以及被动和主动协作。将这一切结合在一起的是自动化,尤其是在安全人员短缺的情况下。新的产品类别不断涌现,以应对自动化挑战,包括安全编排、自动化和响应(SOAR)平台和工具,以及扩展检测和响应(XDR)解决方案。但事实是,安全行业的自动化方法忽略了检测和响应用例的截然不同的需求,因为重点一直放在定义流程和自动化完成该流程所需的步骤上。如果您在静态环境中一遍又一遍地做同样的事情,那效果会很好。但是对于动态和变量的检测和响应,情况并非如此。您从执行操作中学到的东西远比操作本身重要,因此您需要查看流程的输入和输出。例如,精英运动员知道如何进行他们选择的运动,当他们参与这个过程时,肌肉记忆就会发挥作用,促使他们更快、更流畅地进行运动。但饮食、锻炼和环境对表现有巨大影响,从结果中学习也是如此——观看和分析录像带并结合教练的反馈进行调整和改进。最终,运动员会出现高原反应,团队也会陷入困境。为了将他们的表现提升到一个新的水平,他们根据数据和学习结果对输入进行更多更改。因此,输入和输出驱动过程并有助于实现预期的结果。这是我们需要考虑的自动化类型,以加速对现代SOC操作的检测和响应。自动化不能只是运行流程,还必须包括三个重要阶段:(1)输入:定义应该对其采取什么行动以及这些行动应该发生的时间。(2)运行:执行一个动作过程或定义的过程直到完成。(3)输出/反馈:记录所学以分析和改进未来的反应。为了进一步分解,输入涉及识别正确的标准和触发器。首先是将正确的内部数据自动聚合到中央存储库中,以便分析师全面了解他们面临的威胁以及他们必须防御的威胁。分析师可以使用他们订阅的多种威胁数据源(商业、开源、政府、行业、现有安全供应商)和MITREATT&CK等框架自动增强和丰富这些数据。结合并关联内部和外部数据,并应用自动评分框架,使您能够根据与您的组织相关的内容来确定要采取的行动的优先级。有了正确的输入,您现在可以简化您采取的行动并运行正确的流程。您可以专注于对您的组织真正重要的事情,而不是浪费时间运行不必要或无效的流程来应对最新的威胁。您可以将正确的智能部署到正确的工具,即时自动更新您的传感器网格并减轻大量手动和分散的工作。这种数据驱动的流程可实现高效且有效的响应。最后,对于检测和响应,执行动作时的输出和反馈远比动作本身重要。定义您想要的结果以及应该从所采取的行动中学到什么将改进未来的响应并有助于加强对未来类似威胁的保护。随着新数据、反馈和学习被添加到平台,智能会自动重新评估和重新确定优先级,使自动化的输入阶段更加高效。由于安全人才短缺以及对检测和响应等高级安全操作的需求,自动化是一项关键策略。但为了效率和有效性,自动化必须采用数据驱动的方法,包括我们如何发起响应并从中学习,而不仅仅是我们如何执行流程。这就是我们释放安全自动化的全部力量的方式。
