千萬不要低估SOAR
將安全分析師與不同安全產品的互動加以編排和自動化,能獲得很高的投入回報。
200多年前的工業革命以來,自動化就在人類社會中扮演著重要角色。今天,自動化已與我們的日常生活密不可分,從支付賬單到製作咖啡,再到控制室溫,都要用到自動化技術。自動化的重點在於減少人類花費在繁瑣重複性勞動上的時間,以便挪出更多時間去從事高價值的活動。
每個行業都有自動化的空間,安全行業也不例外。安全人員幾十年前就在談論自動化問題,但因為一系列原因,至今尚未完全擁抱自動化技術。不過,過去幾年中,我們開始迎來一些改變。隨著安全編排、自動化及響應(SOAR)的出現與發展,自動化如今開始紮根生長了。
Gartner是SOAR這個術語的締造者和推廣者。很多安全供應商正湧入SOAR市場,其中很多關注的是事件響應(IR)戰術手冊的自動化。每個公司的安全團隊都應將縮短平均響應時間(MTTR)作為重中之重來抓,這點毫無疑問。但SOAR的涵蓋範圍遠不止如此。防禦者不應自我設限到僅自動化戰術手冊上。安全運營中還有很多其他活動能受益於自動化和編排。比如以下幾個例子。
1. 檢測威脅更快速
安全有效性的重要衡量指標之一,就是安全運營檢測威脅的速度。但平均檢測時間(MTTD)削減個十來分鐘或1小時意義不大,因為很多公司往往幾個星期甚至幾個月都找不出潛藏在自己網路中的威脅。波耐蒙研究所的《2018資料洩露損失報告》將MTTD定位在 197天 上。即使僅縮減5%-10%的檢測時間,也意味著能提早1星期甚至更多天來發現資料洩露事件——減少黑客可用於搞破壞的時間並降低資料洩露的損失。事實上,調查研究表明,能在100天之內發現數據洩露的公司企業,比發現時間超過100天的那些,要少損失 100萬美元 以上。
為更快發現威脅,公司企業採用了各種各樣的威脅情報產品。但有時候這些解決方案並不會主動推送資料,而是需要輪詢。而且,產出的資料格式也各異。將所有威脅情報快速統一成某種可用的格式,可以削減MTTD。將安全運營的這一方面加以自動化,便可加速檢測與調查,以便了解哪些東西面臨風險,如果風險等級較高,還可確定風險本質及最佳緩解辦法。
2. 優化稀缺資源
鑑於網路安全人才短缺的情況,通過自動化來減少高階安全人員花在繁瑣事務上的時間就特別重要了。安全人員難尋,僱傭薪酬很高,還能難留得住。所以必須高效利用——能用10分鐘解決的事決不讓他們花上1小時。而且,自動化繁瑣任務還可以降低過勞和跳槽的風險。
舉個例子,安全分析師要花費大量時間在不同管理面板間切換,四處檢視以找出自己所需,設定各個過濾器,關聯資料,並在各個系統間不停複製貼上。如果沒儲存下剛剛查到的資料,還得將整個過程全部重來一遍。如果能應用自動化從各個不同安全產品中拉取資料,並聚合到易於審閱的單個面板中,就能為安全分析師省下大量時間和挫敗感。將安全分析師與不同安全產品的互動加以編排和自動化,能獲得很高的投資回報。
3. 實現不可能
聽起來有點虛,但確實有些東西是人力不可及,要麼因為資料是僅憑人力無法處理和消費的形式,要麼單純因為資料太多了。
不妨設想一下多個產品不能直接互通而需要中間轉換過程的情況。一個典型的例子就是公司訪客在會議現場需要無線連線時的處置。面對這種情況,大多數時候都是讓他們共享無線連線來賓賬戶,但這裡面存在一個責任問題。如果你發現某種行為讓公司陷入風險之中——無論該行為是惡意的還是無意的,你都很難,甚至無法確定其來源。而若將物理安全所用的徽標登記系統與IT管理的無線連線來賓賬戶整合到一起,再編排及自動化登入過程,你就可以消除掉這一責任問題。
至於如何有效利用海量資料,通過編排和自動化,你可以從雲端收集威脅情報,將之轉譯成可用格式並建立新的黑名單。然後就能基於該最新的威脅情報重新配置防火牆,無需人工干預即完成主動安全強化。
上面這些例子中你都在用SOAR來改善安全運營——無論是更快地檢測威脅、更好地利用安全人員,還是將不可能變為可能。加速事件響應確實很重要,但SOAR的用處遠不止這個。