掃清實現安全自動化的障礙
此前已有文章論述通過平衡安全自動化與人員因素來加速安全自動化計劃。同樣重要的是安全自動化的實現,這個方面阻礙了很多企業的腳步。事實上,近期一項調查發現,盡管對安全自動化的信任有所增加,技術卻是采用安全自動化的頭號障礙。在推特調查中,佛瑞斯特研究所高級分析師Allie Mellen詢問采用安全編排、自動化與響應(SOAR)的團隊平時使用多少劇本,有三分之二的受訪團隊回答5~10個或更少。在相關博客文章中,Allie將此結果與手動流程自動化的限制相聯系。
SOAR劇本重在自動化整個流程。所以,想要實現就得為每個劇本定義和記錄復雜的決策樹,并往安全運營中心(SOC)引入具備編程技術的分析師來定制和標準化實現。此外,為適應威脅態勢和環境的變化,還得手動更新流程驅動的劇本。而隨著劇本數量的增長,復雜性也在增加,手動更新是無法持續的。安全團隊將所用劇本的數量限制在個位數,因此并沒有真正發揮這些工具的全部價值。
實現安全自動化可能頗費工夫,所以其秘訣在于采用數據驅動而非流程驅動的方法,將自動化分解為更小的部分。這類似于滾雪球。從一個堅實的核心開始,一點一點裹上雪壓實,最終形成大雪球。如果一下子堆太多,反而容易四分五裂。同樣,在安全自動化實現上,如果我們從正確的核心架構開始,并且考慮周到——從小處著手并逐漸鋪開,那我們就能收獲更多價值。
下列三條建議可能有所幫助:
1、重視互操作性。以開放架構而非封閉架構標準化網絡安全自動化平臺,從而最大限度地確保各種安全工具的互操作性和可擴展性。如果采用不同語言和格式的各個系統和數據源都能相互通信,你就能全面了解自己面對的威脅,知道自己必須防御什么。采用正確的架構,便能自動往中央存儲庫中聚合來自適用工具的恰當數據,轉向數據驅動型方法來推動離散任務的自動化。這也會確保打下堅實的基礎,方便協同擴展檢測與響應(XDR)等新興方法。
2、謹記上下文為王。現在你就可以開始在基本用例上應用自動化了,比如本就可以提供巨大價值的數據上下文化等基本用例。可以使用所訂閱的多個數據源(商業、開源、政府、行業、現有安全供應商),以及MITRE ATT&CK等框架的威脅數據,來自動擴充和豐富內部數據。結合并關聯內部及外部數據便可獲得上下文,幫助了解與自家企業相關的內容。例如,假設某高管收到一封疑似魚叉式網絡釣魚的電子郵件。你可以自動將源IP與外部威脅情報相關聯,從而連點成線,更快確定是否需要進一步的分析和動作。
3、選擇正確用例。可以基于這些上下文化的數據來擴展安全自動化實現,根據所選用例和所設觸發器及閾值來添加離散任務。繼續上面的魚叉式網絡釣魚例子,推進到XDR領域,下一步可以是應用自動評分框架。如果該電子郵件具有高威脅評分指標,你可以立即采取行動,比如將這些指標發往端點檢測與響應(EDR)解決方案加以阻止。或者,在安全信息與事件管理(SIEM)中查詢這些指標,查看是否還有其他相關事件。每個原子級操作都是獨立的,因此,定義、執行和維護都簡單而快速。
魚叉式網絡釣魚分析只是其中一個可能的用例。威脅情報管理、事件響應、警報分類、漏洞管理和威脅捕捉等其他常見用例也經過驗證,可以節省時間和提高安全規程的有效性,展現安全自動化的價值。
實現環節仍舊是采用安全自動化的一個障礙。不過,企業可以從開放式架構開始,專注獲取正確的數據進行分析,并有條不紊地分塊應用自動化,從而改變這種狀況。綜合上述步驟解決關鍵用例,我們最終會得到數據驅動的直觀劇本,可以確保各項動作卓有成效,保證有信心擴大自動化應用范圍,逐漸為公司帶來更大價值。這不是增加復雜性,而是我們可以跟進的“滾雪球效應”。
