SOAR的好處
自動化正快速成為IT人員手中最重要的工具。
AI (artificial intelligence) concept.
正如過去一年中各種黑客攻擊與資料洩露所呈現出來的,任何公司企業或組織機構都有可能淪為網路攻擊的受害者。
網路攻擊一旦發生,有沒有快速事件響應,決定著公司企業是快速控制傷害,還是慘遭破壞性資料洩露。事實上,面對越來越嚴格的監管和企業責任意識的增長,修復工作的速度和可測性也變得更加重要。
安全運營團隊如今面臨的一個大問題是高階技術人才的缺乏。IT部門通常不會很大,原本就少的人手中有一部分員工的技術還並不足以適應工作的需要。同時,採納新技術的需求與不斷縮減的預算也是一對矛盾,安全運營團隊遭遇的資源限制越來越嚴重。如今威脅態勢愈加危險和複雜,這一問題也就愈顯突出。
一直以來,公司企業投資多種網路安全工具,每天產生成千上萬個安全警報。對經常人手不足的安全團隊而言,這根本就是個雷區,前行非常困難。
主要挑戰之一就是對攻擊的限制往往需要IT團隊遵循一些難度頗高的準則,比如某些耗時的人工操作。瞭解多種不同產品,關聯這些產品各自產生的資料,並確定警報是否為真就已經很是費時費力了。時間寶貴的情況下,人手嚴重不足,再加上缺乏自動化,可能會令公司面臨更多的風險。
SOAR方法的興起
內嵌安全編排、自動化與響應(SOAR)在網路安全領域已經流行了一段時間。
這些功能無疑是企業安全的發展方向。Gartner指出,SOAR可供公司企業收集不同來源的安全威脅資料和警報,運用人機結合的方法進行事件分析與分類,根據標準流程輔助定義、排序和驅動標準化事件響應行為。該諮詢公司預測,到2020年底,擁有5人以上規模安全團隊的公司企業中15%都將採用SOAR,而現在的採用率只有1%。
SOAR主要為安全團隊提供定製化的流程和控制,彌合併加速有效網路威脅的調查與緩解。安全運營團隊的大量日常事務性工作也可以藉助SOAR加以自動化。而且,案例戰術手冊還可以幫助分析師在單一平臺上響應和緩解威脅,節約事件響應的每一分每一秒寶貴時間。
改善事件響應
通過平均檢測時間(MTTD)、平均響應時間(MTTR)、確認時間(TTQ)和調查時間(TTI)等明確且可跟蹤的指標,SOAR功能還能幫助分析師瞭解流程有效性,快速識別可改善的地方,進一步提升安全運營團隊的效率。
這些效能指標還可使安全主管量化團隊的整體業務價值,若有需要,可作為相關監管機構的重要證據呈上。
另外,SOAR有助於減少書面工作,改善報告環節。很多安全運營團隊有大量基於管理的工作要做,比如撰寫報告或記錄安全過程等。
通過從各個來源收集情報並展現在顯示面板上,SOAR可有效免除手動執行這些動作的需要,並能幫助團隊規避忘記重要事項或更新的可能性——安全運營團隊面臨的繁忙多變環境中是很可能出現遺漏的。SOAR技術可幫助團隊更智慧地工作而不是更難開展工作。
儘管SOAR的自動化能快速產生回報,值得指出的是,該項功能確實需要前期投資,因而與IT部門合作和買入就成了關鍵。SOAR自動化整個IT部門的響應,所以必須將安全運營團隊外部的IT團隊納入共事。
最終,SOAR幫助業務與安全運營團隊優化其快速檢測與響應威脅的能力,量化MTTD和MTTR等關鍵效能指標,通過改善情報與報告、彌合自動化響應動作的流程與操作來減輕日常工作負荷。毫無疑問,自動化正快速成為IT人員手中最重要的工具。今天的威脅態勢日趨紛繁複雜,安全運營團隊越來越難以跟上威脅進化發展的腳步。SOAR去除了大量手動事務性操作,令安全運營團隊能夠專注其他更重要的任務,讓他們心裡有底。