SOAR 戰略:利用自動化
充分意識到自動化的陷阱有助于構建最佳實踐并提供更大的環境。認識到自動化需要時間,這不是一個“簡單的解決方案”,不是免費的,并且不會導致裁員,這對組織的準備工作有很大幫助。當您學習如何為您的團隊,流程和組織優化自動化過程時,自動化之旅通常會感覺像前進兩步和后退一步。
但是自動化的好處值得付出努力。降低數據泄露的平均成本是安全自動化有效性的明顯實例。根據Ponemon Institute 最近的一項研究,與沒有安全自動化的組織相比,完全部署了安全自動化的組織平均節省了358萬美元的數據泄露成本。在過去的幾年中,安全自動化的影響持續增加,證明了它的好處。
滿懷自動化的現實并渴望獲得其好處,您可能已準備好邁出下一步。這是基于多年與客戶合作的最佳實踐,可將其應用于自動化過程中的任何位置。
自動化最佳實踐
當您開始考慮實現自動化并將其納入您的日常操作中時,重要的是要進行全面思考以最大程度地發揮自動化的影響,這是更廣泛的SOAR策略(包括動態工作流程,案例管理,威脅情報和業務流程)的一部分。正是這些功能與自動化的結合,使公司能夠充分受益。
自動化是一場馬拉松,而不是短跑。從一開始就認識到自動化是一個需要投入時間和資源的旅程,這一點很重要。例如,安全團隊經常傾向于選擇大量的用例作為自動化的初始起點,盡管這可能會讓人感到不知所措。相反,請嘗試使用數量較少的用例,以便團隊可以更輕松地學習。這將有助于清楚地識別學習內容,并為更廣泛的用例奠定基礎。
建立工作流程之間的關系。隨著旅程的進行和自動化的成熟,安全團隊可以開始在多個工作流程中擴展自動化。例如,惡意軟件工作流程可以是獨立的,但也可以是更廣泛的網絡釣魚事件響應的一部分,該響應將惡意軟件工作流程嵌入更廣泛的網絡釣魚工作流程中。勒索軟件的相似之處在于它既可以是獨立的工作流程,也可以是更廣泛的工作流程的一部分。雖然可能很想單獨處理這些工作流,但將它們組合在一起將有助于縮短響應時間并最大限度地提高自動化程度。此外,一旦工作流程存在,就可以集中進行更改,從而有助于簡化正在進行的維護并降低復雜性。
利用整個組織的自動化。 自動化在IT和組織的其他部門中大量使用。安全團隊應利用IT部門及其他部門同事的自動化投資和集成。自動化可以擴展到網絡,身份管理,多個云以及整個基礎架構的許多其他部分。安全團隊應避免與同事接觸并重新利用這些集成,以免浪費時間。它們已經針對您的特定基礎結構進行了調整,可以幫助您在調查和豐富事件期間獲取所需的數據。
建立度量的單一視圖。了解事件響應過程的性能對于了解程序的當前狀態以及存在哪些差距和改進之處至關重要。例如,了解平均響應時間(MTTR)趨勢可以幫助指出哪些團隊可能需要幫助,以及流程的哪些部分可能需要改進。此外,度量標準提供了一種傳達安全性及其對業務影響的重要性的方法。隨著安全團隊及其事件響應流程的成熟,指標可以發展并擴展到超出技術指標的范圍,從而傳達出安全性對業務的影響。正是通過這些指標,最佳的SOAR部署才能改變安全性與其他業務的關系,從而增進了解,信任以及通常的投資。
英國電信服務提供商TalkTalk是一個很好的例子,該公司利用單一的指標視圖與利益相關者進行溝通。
*戰略性地實現自動化 *
很容易理解自動化的誘惑。安全團隊可能會因手動重復任務而陷入困境,缺乏熟練的人員,并且全天候進行補救以解決安全事件。但是,在著手并遵循最佳實踐之前了解自動化的現實情況將有助于確保自動化的成功。此外,將戰略性地自動化作為SOAR支持的較大事件響應策略的一部分,將大大提高安全團隊的效率,加快事件響應速度并最大程度地降低業務風險。
關于作者
Ted Julian
IBM Resilient產品管理副總裁兼聯合創始人。是安全和法規遵從市場中一個著名的,備受推崇的人物。在過去的12年中,他構想并推出了多個成功的跨軟件,硬件和專業服務的安全初創公司。他曾擔任數據庫安全解決方案的領先提供商Application Security的市場營銷副總裁。在擔任Application Security之前,Ted是Arbor Networks(由Danaher收購)的公司創始人兼首席戰略家(職能為市場副總裁),這是一家領先的網絡安全公司,其技術可以保護全球幾乎所有提供商的骨干網絡。加入Arbor之前,Julian是@stake(一家領先的數字安全咨詢公司(被Symantec收購))的公司創始人兼營銷副總裁。
