SOAR 战略:利用自动化
充分意识到自动化的陷阱有助于构建最佳实践并提供更大的环境。认识到自动化需要时间,这不是一个“简单的解决方案”,不是免费的,并且不会导致裁员,这对组织的准备工作有很大帮助。当您学习如何为您的团队,流程和组织优化自动化过程时,自动化之旅通常会感觉像前进两步和后退一步。
但是自动化的好处值得付出努力。降低数据泄露的平均成本是安全自动化有效性的明显实例。根据Ponemon Institute 最近的一项研究,与没有安全自动化的组织相比,完全部署了安全自动化的组织平均节省了358万美元的数据泄露成本。在过去的几年中,安全自动化的影响持续增加,证明了它的好处。
满怀自动化的现实并渴望获得其好处,您可能已准备好迈出下一步。这是基于多年与客户合作的最佳实践,可将其应用于自动化过程中的任何位置。
自动化最佳实践
当您开始考虑实现自动化并将其纳入您的日常操作中时,重要的是要进行全面思考以最大程度地发挥自动化的影响,这是更广泛的SOAR策略(包括动态工作流程,案例管理,威胁情报和业务流程)的一部分。正是这些功能与自动化的结合,使公司能够充分受益。
自动化是一场马拉松,而不是短跑。从一开始就认识到自动化是一个需要投入时间和资源的旅程,这一点很重要。例如,安全团队经常倾向于选择大量的用例作为自动化的初始起点,尽管这可能会让人感到不知所措。相反,请尝试使用数量较少的用例,以便团队可以更轻松地学习。这将有助于清楚地识别学习内容,并为更广泛的用例奠定基础。
建立工作流程之间的关系。随着旅程的进行和自动化的成熟,安全团队可以开始在多个工作流程中扩展自动化。例如,恶意软件工作流程可以是独立的,但也可以是更广泛的网络钓鱼事件响应的一部分,该响应将恶意软件工作流程嵌入更广泛的网络钓鱼工作流程中。勒索软件的相似之处在于它既可以是独立的工作流程,也可以是更广泛的工作流程的一部分。虽然可能很想单独处理这些工作流,但将它们组合在一起将有助于缩短响应时间并最大限度地提高自动化程度。此外,一旦工作流程存在,就可以集中进行更改,从而有助于简化正在进行的维护并降低复杂性。
利用整个组织的自动化。 自动化在IT和组织的其他部门中大量使用。安全团队应利用IT部门及其他部门同事的自动化投资和集成。自动化可以扩展到网络,身份管理,多个云以及整个基础架构的许多其他部分。安全团队应避免与同事接触并重新利用这些集成,以免浪费时间。它们已经针对您的特定基础结构进行了调整,可以帮助您在调查和丰富事件期间获取所需的数据。
建立度量的单一视图。了解事件响应过程的性能对于了解程序的当前状态以及存在哪些差距和改进之处至关重要。例如,了解平均响应时间(MTTR)趋势可以帮助指出哪些团队可能需要帮助,以及流程的哪些部分可能需要改进。此外,度量标准提供了一种传达安全性及其对业务影响的重要性的方法。随着安全团队及其事件响应流程的成熟,指标可以发展并扩展到超出技术指标的范围,从而传达出安全性对业务的影响。正是通过这些指标,最佳的SOAR部署才能改变安全性与其他业务的关系,从而增进了解,信任以及通常的投资。
英国电信服务提供商TalkTalk是一个很好的例子,该公司利用单一的指标视图与利益相关者进行沟通。
*战略性地实现自动化 *
很容易理解自动化的诱惑。安全团队可能会因手动重复任务而陷入困境,缺乏熟练的人员,并且全天候进行补救以解决安全事件。但是,在着手并遵循最佳实践之前了解自动化的现实情况将有助于确保自动化的成功。此外,将战略性地自动化作为SOAR支持的较大事件响应策略的一部分,将大大提高安全团队的效率,加快事件响应速度并最大程度地降低业务风险。
关于作者
Ted Julian
IBM Resilient产品管理副总裁兼联合创始人。是安全和法规遵从市场中一个着名的,备受推崇的人物。在过去的12年中,他构想并推出了多个成功的跨软件,硬件和专业服务的安全初创公司。他曾担任数据库安全解决方案的领先提供商Application Security的市场营销副总裁。在担任Application Security之前,Ted是Arbor Networks(由Danaher收购)的公司创始人兼首席战略家(职能为市场副总裁),这是一家领先的网络安全公司,其技术可以保护全球几乎所有提供商的骨干网络。加入Arbor之前,Julian是@stake(一家领先的数字安全咨询公司(被Symantec收购))的公司创始人兼营销副总裁。
