安全運(yùn)營(yíng)中心自動(dòng)化究竟是好還是壞�����?
2018年06月01日
如今,許多安全運(yùn)營(yíng)中心(SOC)都在面臨著同樣的困境——警報(bào)太多����,而處理它們的人員卻又太少。隨著時(shí)間的推移�,這種問(wèn)題將會(huì)變得更加嚴(yán)重,因?yàn)樯删瘓?bào)的設(shè)備數(shù)量的增長(zhǎng)速度��,要遠(yuǎn)遠(yuǎn)快于可用于分析它們的人員數(shù)量的增長(zhǎng)速度���。如此一來(lái)�����,真正重要的警報(bào)可能就會(huì)淹沒(méi)其中�,得不到響應(yīng)����。
大多數(shù)企業(yè)認(rèn)為應(yīng)對(duì)這個(gè)問(wèn)題只有兩種解決方案:即減少警報(bào)數(shù)量,或是增加人員數(shù)量��。幸運(yùn)的是��,還有第三種選擇:自動(dòng)化���。它可以極大地提高分析師的時(shí)間效率�,用更少地時(shí)間完成更多的工作量��。
傳統(tǒng)意義上�����,人們習(xí)慣將自動(dòng)化視為“不全則無(wú)”(all-or-nothing)的主張�����。但是��,如今時(shí)代已經(jīng)發(fā)生了變化�����。企業(yè)可以在事件響應(yīng)過(guò)程中的各個(gè)位置實(shí)施自動(dòng)化����,幫助分析人員從繁復(fù)的任務(wù)中解脫出來(lái),同時(shí)保持他們對(duì)警報(bào)監(jiān)視和響應(yīng)的人為控制�����。其最終目標(biāo)應(yīng)該是,在自動(dòng)化可以處理的低風(fēng)險(xiǎn)和人為應(yīng)對(duì)的高風(fēng)險(xiǎn)之間取得平衡�����。
但是���,在部署某種程度的SOC自動(dòng)化之前�,應(yīng)該認(rèn)真考慮以下幾點(diǎn)問(wèn)題:1)組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)?2)如果是贏了��,它是否具備正確的工具來(lái)持續(xù)這種狀態(tài)?3)如果是輸了�����,它應(yīng)該怎么做?
不過(guò)�����,無(wú)論組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)���,理解自動(dòng)化的優(yōu)缺點(diǎn)對(duì)于任何項(xiàng)目的成功與否都是至關(guān)重要的�。
一�����、自動(dòng)化的優(yōu)點(diǎn)
自動(dòng)化在低影響(low-impact )環(huán)境中通常備受青睞,但是由于誤報(bào)可能導(dǎo)致的負(fù)面影響��,其在諸如公用事業(yè)和醫(yī)療保健等高影響(high-impact)環(huán)境中一直備受質(zhì)疑�����。
SOC自動(dòng)化的主要優(yōu)點(diǎn)包括:
對(duì)警報(bào)和ticket的響應(yīng)更一致;
對(duì)于ticket關(guān)閉和事件響應(yīng)量更大;
提高對(duì)正在發(fā)生問(wèn)題的可視性;
覆蓋面積更大�,ticket數(shù)量更多�����。
二���、自動(dòng)化的缺點(diǎn)
沒(méi)有什么比處理假陽(yáng)性(即誤報(bào))更令人煩惱的了����,所謂假陽(yáng)性就是系統(tǒng)將合法活動(dòng)標(biāo)識(shí)為惡意攻擊行為�。在某些行業(yè)中,誤報(bào)會(huì)破壞業(yè)務(wù)流程���,造成收入損失����、工業(yè)組織停工等后果,在醫(yī)院環(huán)境中���,這種誤報(bào)甚至?xí)<吧?/span>
SOC自動(dòng)化的主要缺點(diǎn)包括:
關(guān)閉操作;
產(chǎn)生誤報(bào)����,導(dǎo)致采取錯(cuò)誤的舉措;
自動(dòng)化處理本該手動(dòng)處理的 ticket;
關(guān)鍵信息或數(shù)據(jù)丟失;
做出錯(cuò)誤或不恰當(dāng)?shù)臎Q定����。
三、自動(dòng)化的最佳實(shí)踐
過(guò)去��,公司通常會(huì)因?yàn)榭紤]到自動(dòng)化的潛在缺點(diǎn)���,而最終選擇放棄它��,因?yàn)樗麄冋J(rèn)為這樣做更安全�����。然而�����,如今����,越來(lái)越多的企業(yè)已經(jīng)意識(shí)到,如果他們沒(méi)有實(shí)現(xiàn)某種程度的自動(dòng)化��,會(huì)增加其錯(cuò)失標(biāo)記攻擊行為的機(jī)會(huì)�����,這種情況所造成的損失�,可能會(huì)比實(shí)施自動(dòng)化所帶來(lái)的潛在負(fù)面影響更為沉重�����。
鑒于這種情況����,安全從業(yè)人員應(yīng)該考慮采用以下自動(dòng)化最佳實(shí)踐措施:
1. 創(chuàng)建一個(gè)全面的戰(zhàn)略
該計(jì)劃應(yīng)該旨在解決以下關(guān)鍵問(wèn)題:
哪些區(qū)域產(chǎn)生的警報(bào)最多?
什么樣的警報(bào)類型占據(jù)了分析師大部分的時(shí)間?
哪些響應(yīng)是非常有條理的,以及哪些警報(bào)分析師可以用可預(yù)測(cè)的方式做出響應(yīng)?
是否可以使用自動(dòng)化劇本(playbook)來(lái)處理某些事件?
2. 采取一種經(jīng)過(guò)實(shí)測(cè)的方法
安全的關(guān)鍵規(guī)則之一就是始終避免極端事件�。例如,“自動(dòng)化一切”可能會(huì)招致一堆蠕蟲(chóng)����,然后迫使安全管理人員通過(guò)指責(zé)分析師來(lái)證明這一做法是正確的,他們會(huì)聲稱是由于分析師來(lái)不及分析ticket才導(dǎo)致的問(wèn)題。
通過(guò)自動(dòng)化人力密集型�����、高度重復(fù)型任務(wù)來(lái)實(shí)現(xiàn)平衡��,將分析師從繁復(fù)的任務(wù)中解放出來(lái)�����,有精力實(shí)現(xiàn)更為重要的職能�,這是一個(gè)非常好的起點(diǎn)。自動(dòng)化應(yīng)該允許公司提高SOC效率�,同時(shí)保持可接受的風(fēng)險(xiǎn)水平——無(wú)論是在運(yùn)營(yíng)方面還是安全方面。
訣竅在于管理和控制誤報(bào)����,而不是妄圖消除誤報(bào)。
3. 了解不需要自動(dòng)化而需要人工分析的任務(wù)
其主要包括影響如下系統(tǒng)的警報(bào):
關(guān)鍵應(yīng)用程序或系統(tǒng);
業(yè)務(wù)流程�、財(cái)務(wù)和運(yùn)營(yíng)系統(tǒng);
包含大量敏感數(shù)據(jù)的系統(tǒng);
大規(guī)模攻擊指標(biāo)。
四��、結(jié)論
由于網(wǎng)絡(luò)攻擊對(duì)手也在利用軟件和硬件來(lái)開(kāi)發(fā)和實(shí)施攻擊���,威脅的演變速度和復(fù)雜性正在急劇上升���,對(duì)于SOC自動(dòng)化的需求也在隨之增長(zhǎng)�。想要跟上程序化攻擊的步伐����,不可避免地需要自動(dòng)化某些SOC功能和流程。遵循上述列出的建議�����,可以幫助確定應(yīng)該自動(dòng)化和不應(yīng)該自動(dòng)化的內(nèi)容�,以便發(fā)揮自動(dòng)化的最大功效。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)���、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評(píng)估�����、規(guī)劃�����、管控�����、建設(shè)��、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商�。
