自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

安全運營中心自動化究竟是好還是壞?

作者:Jasmine
安全 應用安全 自動化
如今,許多安全運營中心(SOC)都在面臨著同樣的困境——警報太多,而處理它們的人員卻又太少。大多數(shù)企業(yè)認為應對這個問題只有兩種解決方案:即減少警報數(shù)量,或是增加人員數(shù)量。幸運的是,還有第三種選擇:自動化。

如今,許多安全運營中心(SOC)都在面臨著同樣的困境——警報太多,而處理它們的人員卻又太少。隨著時間的推移,這種問題將會變得更加嚴重,因為生成警報的設備數(shù)量的增長速度,要遠遠快于可用于分析它們的人員數(shù)量的增長速度。如此一來,真正重要的警報可能就會淹沒其中,得不到響應。

[[231092]]

大多數(shù)企業(yè)認為應對這個問題只有兩種解決方案:即減少警報數(shù)量,或是增加人員數(shù)量。幸運的是,還有第三種選擇:自動化。它可以極大地提高分析師的時間效率,用更少地時間完成更多的工作量。

傳統(tǒng)意義上,人們習慣將自動化視為“不全則無”(all-or-nothing)的主張。但是,如今時代已經(jīng)發(fā)生了變化。企業(yè)可以在事件響應過程中的各個位置實施自動化,幫助分析人員從繁復的任務中解脫出來,同時保持他們對警報監(jiān)視和響應的人為控制。其最終目標應該是,在自動化可以處理的低風險和人為應對的高風險之間取得平衡。

但是,在部署某種程度的SOC自動化之前,應該認真考慮以下幾點問題:1)組織是贏了還是輸了網(wǎng)絡戰(zhàn)爭?2)如果是贏了,它是否具備正確的工具來持續(xù)這種狀態(tài)?3)如果是輸了,它應該怎么做?

不過,無論組織是贏了還是輸了網(wǎng)絡戰(zhàn)爭,理解自動化的優(yōu)缺點對于任何項目的成功與否都是至關(guān)重要的。

一、自動化的優(yōu)點

自動化在低影響(low-impact )環(huán)境中通常備受青睞,但是由于誤報可能導致的負面影響,其在諸如公用事業(yè)和醫(yī)療保健等高影響(high-impact)環(huán)境中一直備受質(zhì)疑。

SOC自動化的主要優(yōu)點包括:

  • 對警報和ticket的響應更一致;
  • 對于ticket關(guān)閉和事件響應量更大;
  • 提高對正在發(fā)生問題的可視性;
  • 覆蓋面積更大,ticket數(shù)量更多。

二、自動化的缺點

沒有什么比處理假陽性(即誤報)更令人煩惱的了,所謂假陽性就是系統(tǒng)將合法活動標識為惡意攻擊行為。在某些行業(yè)中,誤報會破壞業(yè)務流程,造成收入損失、工業(yè)組織停工等后果,在醫(yī)院環(huán)境中,這種誤報甚至會危及生命。

SOC自動化的主要缺點包括:

  • 關(guān)閉操作;
  • 產(chǎn)生誤報,導致采取錯誤的舉措;
  • 自動化處理本該手動處理的 ticket;
  • 關(guān)鍵信息或數(shù)據(jù)丟失;
  • 做出錯誤或不恰當?shù)臎Q定。

三、自動化的最佳實踐

過去,公司通常會因為考慮到自動化的潛在缺點,而最終選擇放棄它,因為他們認為這樣做更安全。然而,如今,越來越多的企業(yè)已經(jīng)意識到,如果他們沒有實現(xiàn)某種程度的自動化,會增加其錯失標記攻擊行為的機會,這種情況所造成的損失,可能會比實施自動化所帶來的潛在負面影響更為沉重。

鑒于這種情況,安全從業(yè)人員應該考慮采用以下自動化最佳實踐措施:

1. 創(chuàng)建一個全面的戰(zhàn)略

該計劃應該旨在解決以下關(guān)鍵問題:

  • 哪些區(qū)域產(chǎn)生的警報最多?
  • 什么樣的警報類型占據(jù)了分析師大部分的時間?
  • 哪些響應是非常有條理的,以及哪些警報分析師可以用可預測的方式做出響應?
  • 是否可以使用自動化劇本(playbook)來處理某些事件?

2. 采取一種經(jīng)過實測的方法

安全的關(guān)鍵規(guī)則之一就是始終避免極端事件。例如,“自動化一切”可能會招致一堆蠕蟲,然后迫使安全管理人員通過指責分析師來證明這一做法是正確的,他們會聲稱是由于分析師來不及分析ticket才導致的問題。

通過自動化人力密集型、高度重復型任務來實現(xiàn)平衡,將分析師從繁復的任務中解放出來,有精力實現(xiàn)更為重要的職能,這是一個非常好的起點。自動化應該允許公司提高SOC效率,同時保持可接受的風險水平——無論是在運營方面還是安全方面。

訣竅在于管理和控制誤報,而不是妄圖消除誤報。

3. 了解不需要自動化而需要人工分析的任務

其主要包括影響如下系統(tǒng)的警報:

  • 關(guān)鍵應用程序或系統(tǒng);
  • 業(yè)務流程、財務和運營系統(tǒng);
  • 包含大量敏感數(shù)據(jù)的系統(tǒng);
  • 大規(guī)模攻擊指標。

四、結(jié)論

由于網(wǎng)絡攻擊對手也在利用軟件和硬件來開發(fā)和實施攻擊,威脅的演變速度和復雜性正在急劇上升,對于SOC自動化的需求也在隨之增長。想要跟上程序化攻擊的步伐,不可避免地需要自動化某些SOC功能和流程。遵循上述列出的建議,可以幫助確定應該自動化和不應該自動化的內(nèi)容,以便發(fā)揮自動化的最大功效。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】

戳這里,看該作者更多好文

責任編輯:趙寧寧 來源: 51CTO專欄
安全運營中心SOC自動化
相關(guān)推薦

2021-03-12 10:28:36

996職場數(shù)據(jù)

2011-02-28 09:51:43

內(nèi)省

2022-06-14 10:18:03

液態(tài)機器人人工智能

2018-07-05 16:15:26

緩存數(shù)據(jù)cache miss

2022-02-07 15:20:53

去中心化加密經(jīng)濟學加密貨幣

2010-06-28 14:47:45

云計算

2016-11-01 15:16:52

QQ狀態(tài)即時通訊

2012-08-20 10:34:07

軟件開發(fā)開發(fā)軟件

2021-01-05 09:23:49

網(wǎng)頁端消息

2024-10-18 14:43:31

2009-05-06 16:10:17

Java傳值引用

2019-10-21 13:58:22

爬蟲互聯(lián)網(wǎng)程序員

2019-04-26 13:55:02

Istio微服務架構(gòu)

2011-02-16 16:13:40

Debian

2019-02-14 10:10:11

系統(tǒng)廠商芯片

2020-05-06 18:32:37

人工智能AI制藥

2020-05-07 10:53:04

人工智能技術(shù)開發(fā)

2013-04-01 09:16:50

2020-06-11 09:18:34

動靜分離架構(gòu)架構(gòu)設計開發(fā)

2022-06-09 10:10:24

前端組件化解耦
點贊
收藏

51CTO技術(shù)棧公眾號