當(dāng)自動(dòng)化在人和機(jī)器之間取得平衡時(shí)，可以確保團(tuán)隊(duì)始終擁有完成工作的最佳工具

隨著安全運(yùn)營(yíng)中心 (SOC) 縮小其使命的重點(diǎn)，成為檢測(cè)和響應(yīng)組織，需要具備三個(gè)主要能力來為未來的 SOC做好準(zhǔn)備。當(dāng)安全性由數(shù)據(jù)驅(qū)動(dòng)時(shí)，團(tuán)隊(duì)可以專注于相關(guān)的高優(yōu)先級(jí)問題，做出最佳決策并采取正確的行動(dòng)。數(shù)據(jù)驅(qū)動(dòng)的安全性還提供了一個(gè)持續(xù)的反饋循環(huán)，以便團(tuán)隊(duì)可以捕獲和使用數(shù)據(jù)來改進(jìn)未來的分析。開放式集成架構(gòu)使數(shù)據(jù)能夠在整個(gè)基礎(chǔ)架構(gòu)中流動(dòng)，并確保系統(tǒng)和工具可以協(xié)同工作。

SOC 的第三個(gè)組成部分是自動(dòng)化。有些人談?wù)撟詣?dòng)化 是SOC 內(nèi)的一切。然而，這可能會(huì)帶來許多挑戰(zhàn)。需要一種平衡的自動(dòng)化方法，因?yàn)槿绻麤]有運(yùn)行它們的專家分析師，SOC 就什么都不是。平衡自動(dòng)化與人類智能和分析使團(tuán)隊(duì)始終擁有最適合工作的工具。重復(fù)性、低風(fēng)險(xiǎn)、耗時(shí)的任務(wù)是自動(dòng)化的主要候選者，而人類分析師則帶頭進(jìn)行不規(guī)則、影響大、時(shí)間敏感的調(diào)查，自動(dòng)化簡(jiǎn)化了一些工作。

平衡自動(dòng)化的好處很多，包括保留和更好地利用稀缺的高技能人力資源以及更好的結(jié)果，可以更快、更聰明地工作。人機(jī)之間的平衡還可以減輕當(dāng)機(jī)器隔離系統(tǒng)或錯(cuò)誤地阻止防火墻上的端口時(shí)被燒毀的恐懼。反過來，這會(huì)建立信心，以進(jìn)一步實(shí)現(xiàn)自動(dòng)化并為組織取得適當(dāng)?shù)钠胶猓瑥亩鴰砹硪粋€(gè)好處——成本節(jié)約。2021 年數(shù)據(jù)泄露報(bào)告的成本按安全自動(dòng)化部署級(jí)別查看數(shù)據(jù)泄露的平均成本，結(jié)果令人大開眼界。數(shù)據(jù)泄露的平均成本從沒有安全自動(dòng)化的組織的 671 萬(wàn)美元下降到具有一定程度安全自動(dòng)化的組織的 385 萬(wàn)美元。

平衡自動(dòng)化是什么樣的?

任何關(guān)于網(wǎng)絡(luò)安全未來的討論都必須包括自動(dòng)化，但是 SOC 內(nèi)的平衡自動(dòng)化是什么樣的呢?它在安全運(yùn)營(yíng)的所有階段都發(fā)揮了作用。

檢測(cè)。對(duì)手變得更加狡猾，并改變了策略來實(shí)現(xiàn)他們的目標(biāo)。因此，檢測(cè)已經(jīng)從尋找觸發(fā)攻擊的一個(gè)控制點(diǎn)或系統(tǒng)發(fā)展到涉及整個(gè)企業(yè)的多個(gè)點(diǎn)——時(shí)間至關(guān)重要。借助開放式集成框架，來自不同內(nèi)部來源的數(shù)據(jù)可以自動(dòng)聚合、擴(kuò)充和豐富來自組織訂閱的多個(gè)來源的外部威脅數(shù)據(jù)——商業(yè)、開源、政府、行業(yè)和現(xiàn)有安全供應(yīng)商。當(dāng)所有這些數(shù)據(jù)都顯示在一個(gè)屏幕上并根據(jù)安全團(tuán)隊(duì)設(shè)置的參數(shù)進(jìn)行優(yōu)先級(jí)排序時(shí)，分析師可以更輕松、更快速地識(shí)別關(guān)系并檢測(cè)整個(gè)企業(yè)的惡意活動(dòng)。

調(diào)查. 自動(dòng)化檢測(cè)的許多初始和重復(fù)方面加速了調(diào)查過程，這最好由人類驅(qū)動(dòng)。通過將直覺、記憶、學(xué)習(xí)和經(jīng)驗(yàn)帶入流程，分析師將相關(guān)數(shù)據(jù)與內(nèi)部和外部豐富資源(例如受影響用戶的身份和 MITRE ATT&CK 框架)關(guān)聯(lián)起來。例如，如果目標(biāo)包括財(cái)務(wù)部門、人力資源或最高管理層，這可能表明存在更嚴(yán)重的威脅。從那里，他們可以轉(zhuǎn)向描述活動(dòng)、對(duì)手及其策略、技術(shù)和程序 (TTP) 的 MITRE ATT&CK 等外部數(shù)據(jù)源，以了解有關(guān)惡意軟件的更多信息，然后進(jìn)一步擴(kuò)大搜索范圍。如果他們發(fā)現(xiàn)某個(gè)指標(biāo)與特定的活動(dòng)或?qū)κ窒嚓P(guān)聯(lián)，是否有相關(guān)的工件需要在其他工具中尋找以確認(rèn)惡意活動(dòng)的存在?還可以將哪些其他智能部署到基礎(chǔ)架構(gòu)以進(jìn)行未來攔截?這種復(fù)雜程度的調(diào)查需要通過自動(dòng)化來增強(qiáng)人力。這是驗(yàn)證數(shù)據(jù)和調(diào)查結(jié)果、連接點(diǎn)并揭示包括所有受影響系統(tǒng)的更廣泛圖景的最有效和最有效的方式，而不是單個(gè)系統(tǒng)上的單個(gè)事件。

回復(fù). 現(xiàn)在，SOC 已準(zhǔn)備好執(zhí)行全面響應(yīng)。在這里，某些方面也可以實(shí)現(xiàn)自動(dòng)化，例如將數(shù)據(jù)翻譯并發(fā)送回防御網(wǎng)格中的工具，以更新策略、規(guī)則和簽名。但是根據(jù)安全控制和推薦的響應(yīng)，有時(shí)需要人工在執(zhí)行之前在他們自己的環(huán)境中查看和驗(yàn)證建議。當(dāng)涉及到關(guān)鍵的遺留系統(tǒng)(例如在工業(yè)環(huán)境中普遍存在的系統(tǒng))時(shí)，人工必須完成整個(gè)過程，以確保任何操作都不會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生影響，如果是，則確定并實(shí)施補(bǔ)償控制。作為閉環(huán)，現(xiàn)代響應(yīng)方法還必須包括從響應(yīng)中捕獲和存儲(chǔ)數(shù)據(jù)以進(jìn)行學(xué)習(xí)和改進(jìn)的能力。

當(dāng)自動(dòng)化在人與機(jī)器之間有意識(shí)地平衡時(shí)，我們可以確保團(tuán)隊(duì)始終擁有完成工作的最佳工具。當(dāng)與開放集成框架支持的數(shù)據(jù)驅(qū)動(dòng)的安全方法相結(jié)合時(shí)，SOC 擁有了更高效、更徹底地工作以更好地管理當(dāng)前和未來風(fēng)險(xiǎn)所需的基礎(chǔ)。