扫清实现安全自动化的障碍
此前已有文章论述通过平衡安全自动化与人员因素来加速安全自动化计划。同样重要的是安全自动化的实现,这个方面阻碍了很多企业的脚步。事实上,近期一项调查发现,尽管对安全自动化的信任有所增加,技术却是采用安全自动化的头号障碍。在推特调查中,佛瑞斯特研究所高级分析师Allie Mellen询问采用安全编排、自动化与响应(SOAR)的团队平时使用多少剧本,有三分之二的受访团队回答5~10个或更少。在相关博客文章中,Allie将此结果与手动流程自动化的限制相联系。
SOAR剧本重在自动化整个流程。所以,想要实现就得为每个剧本定义和记录复杂的决策树,并往安全运营中心(SOC)引入具备编程技术的分析师来定制和标准化实现。此外,为适应威胁态势和环境的变化,还得手动更新流程驱动的剧本。而随着剧本数量的增长,复杂性也在增加,手动更新是无法持续的。安全团队将所用剧本的数量限制在个位数,因此并没有真正发挥这些工具的全部价值。
实现安全自动化可能颇费工夫,所以其秘诀在于采用数据驱动而非流程驱动的方法,将自动化分解为更小的部分。这类似于滚雪球。从一个坚实的核心开始,一点一点裹上雪压实,最终形成大雪球。如果一下子堆太多,反而容易四分五裂。同样,在安全自动化实现上,如果我们从正确的核心架构开始,并且考虑周到——从小处着手并逐渐铺开,那我们就能收获更多价值。
下列三条建议可能有所帮助:
1、重视互操作性。以开放架构而非封闭架构标准化网络安全自动化平台,从而最大限度地确保各种安全工具的互操作性和可扩展性。如果采用不同语言和格式的各个系统和数据源都能相互通信,你就能全面了解自己面对的威胁,知道自己必须防御什么。采用正确的架构,便能自动往中央存储库中聚合来自适用工具的恰当数据,转向数据驱动型方法来推动离散任务的自动化。这也会确保打下坚实的基础,方便协同扩展检测与响应(XDR)等新兴方法。
2、谨记上下文为王。现在你就可以开始在基本用例上应用自动化了,比如本就可以提供巨大价值的数据上下文化等基本用例。可以使用所订阅的多个数据源(商业、开源、政府、行业、现有安全供应商),以及MITRE ATT&CK等框架的威胁数据,来自动扩充和丰富内部数据。结合并关联内部及外部数据便可获得上下文,帮助了解与自家企业相关的内容。例如,假设某高管收到一封疑似鱼叉式网络钓鱼的电子邮件。你可以自动将源IP与外部威胁情报相关联,从而连点成线,更快确定是否需要进一步的分析和动作。
3、选择正确用例。可以基于这些上下文化的数据来扩展安全自动化实现,根据所选用例和所设触发器及阈值来添加离散任务。继续上面的鱼叉式网络钓鱼例子,推进到XDR领域,下一步可以是应用自动评分框架。如果该电子邮件具有高威胁评分指标,你可以立即采取行动,比如将这些指标发往端点检测与响应(EDR)解决方案加以阻止。或者,在安全信息与事件管理(SIEM)中查询这些指标,查看是否还有其他相关事件。每个原子级操作都是独立的,因此,定义、执行和维护都简单而快速。
鱼叉式网络钓鱼分析只是其中一个可能的用例。威胁情报管理、事件响应、警报分类、漏洞管理和威胁捕捉等其他常见用例也经过验证,可以节省时间和提高安全规程的有效性,展现安全自动化的价值。
实现环节仍旧是采用安全自动化的一个障碍。不过,企业可以从开放式架构开始,专注获取正确的数据进行分析,并有条不紊地分块应用自动化,从而改变这种状况。综合上述步骤解决关键用例,我们最终会得到数据驱动的直观剧本,可以确保各项动作卓有成效,保证有信心扩大自动化应用范围,逐渐为公司带来更大价值。这不是增加复杂性,而是我们可以跟进的“滚雪球效应”。
