如今,许多安全运营中心(SOC)都在面临着同样的困境——警报太多,而处理它们的人员却又太少。随着时间的推移,这种问题将会变得更加严重,因为生成警报的设备数量的增长速度,要远远快于可用于分析它们的人员数量的增长速度。如此一来,真正重要的警报可能就会淹没其中,得不到响应。
大多数企业认为应对这个问题只有两种解决方案:即减少警报数量,或是增加人员数量。幸运的是,还有第三种选择:自动化。它可以极大地提高分析师的时间效率,用更少地时间完成更多的工作量。
传统意义上,人们习惯将自动化视为“不全则无”(all-or-nothing)的主张。但是,如今时代已经发生了变化。企业可以在事件响应过程中的各个位置实施自动化,帮助分析人员从繁复的任务中解脱出来,同时保持他们对警报监视和响应的人为控制。其最终目标应该是,在自动化可以处理的低风险和人为应对的高风险之间取得平衡。
但是,在部署某种程度的SOC自动化之前,应该认真考虑以下几点问题:1)组织是赢了还是输了网络战争?2)如果是赢了,它是否具备正确的工具来持续这种状态?3)如果是输了,它应该怎么做?
不过,无论组织是赢了还是输了网络战争,理解自动化的优缺点对于任何项目的成功与否都是至关重要的。
一、自动化的优点
自动化在低影响(low-impact )环境中通常备受青睐,但是由于误报可能导致的负面影响,其在诸如公用事业和医疗保健等高影响(high-impact)环境中一直备受质疑。
SOC自动化的主要优点包括:
对警报和ticket的响应更一致;
对于ticket关闭和事件响应量更大;
提高对正在发生问题的可视性;
覆盖面积更大,ticket数量更多。
二、自动化的缺点
没有什么比处理假阳性(即误报)更令人烦恼的了,所谓假阳性就是系统将合法活动标识为恶意攻击行为。在某些行业中,误报会破坏业务流程,造成收入损失、工业组织停工等后果,在医院环境中,这种误报甚至会危及生命。
SOC自动化的主要缺点包括:
关闭操作;
产生误报,导致采取错误的举措;
自动化处理本该手动处理的 ticket;
关键信息或数据丢失;
做出错误或不恰当的决定。
三、自动化的最佳实践
过去,公司通常会因为考虑到自动化的潜在缺点,而最终选择放弃它,因为他们认为这样做更安全。然而,如今,越来越多的企业已经意识到,如果他们没有实现某种程度的自动化,会增加其错失标记攻击行为的机会,这种情况所造成的损失,可能会比实施自动化所带来的潜在负面影响更为沉重。
鉴于这种情况,安全从业人员应该考虑采用以下自动化最佳实践措施:
1. 创建一个全面的战略
该计划应该旨在解决以下关键问题:
2. 采取一种经过实测的方法
安全的关键规则之一就是始终避免极端事件。例如,“自动化一切”可能会招致一堆蠕虫,然后迫使安全管理人员通过指责分析师来证明这一做法是正确的,他们会声称是由于分析师来不及分析ticket才导致的问题。
通过自动化人力密集型、高度重复型任务来实现平衡,将分析师从繁复的任务中解放出来,有精力实现更为重要的职能,这是一个非常好的起点。自动化应该允许公司提高SOC效率,同时保持可接受的风险水平——无论是在运营方面还是安全方面。
诀窍在于管理和控制误报,而不是妄图消除误报。
3. 了解不需要自动化而需要人工分析的任务
其主要包括影响如下系统的警报:
关键应用程序或系统;
业务流程、财务和运营系统;
包含大量敏感数据的系统;
大规模攻击指标。
四、结论
由于网络攻击对手也在利用软件和硬件来开发和实施攻击,威胁的演变速度和复杂性正在急剧上升,对于SOC自动化的需求也在随之增长。想要跟上程序化攻击的步伐,不可避免地需要自动化某些SOC功能和流程。遵循上述列出的建议,可以帮助确定应该自动化和不应该自动化的内容,以便发挥自动化的最大功效。