Во все более сложном и быстро меняющемся цифровом ландшафте организации стремятся защитить себя от различных угроз безопасности. Однако ограниченные ресурсы часто мешают группам безопасности бороться с этими угрозами, затрудняя отслеживание растущего числа инцидентов безопасности и оповещений. Внедрение автоматизации во всех операциях по обеспечению безопасности помогает командам безопасности решать эти проблемы за счет оптимизации повторяющихся задач, снижения риска человеческих ошибок и позволяет им сосредоточиться на более ценных инициативах.
Хотя автоматизация дает значительные преимущества, не существует надежного метода или процесса, гарантирующего успех. Четкие определения, последовательная реализация и стандартизированные процессы имеют решающее значение для достижения оптимальных результатов. Без рекомендаций ручные методы, отнимающие много времени, могут подорвать эффективность автоматизации.
В этом блоге рассматриваются проблемы, с которыми сталкиваются команды по обеспечению безопасности при внедрении автоматизации, и практические шаги, необходимые для создания прочной основы для успешного внедрения.
При рассмотрении возможности автоматизации становится важным оценить, могут ли существующие процессы и процедуры быть полностью автоматизированы от начала до конца. Не все задачи подходят для полной автоматизации. Решение об автоматизации определенных процессов должно основываться на таких факторах, как уровень зрелости организации, доступное время и ресурсы, а также способность отслеживать и обеспечивать осуществимость усилий по автоматизации. Требуется тщательная оценка, чтобы определить, имеет ли смысл автоматизация и может ли она эффективно оптимизировать операции по обеспечению безопасности.
Автоматизация может значительно улучшить этот этап за счет унификации и упрощения запросов, тем самым устраняя сложности, связанные с различными системами ведения журнала и номенклатурами запросов. Здесь может оказаться чрезвычайно полезным решение для организации безопасности, автоматизации и реагирования (SOAR). Однако основное препятствие при внедрении SOARs заключается в интеграции, обслуживании и доработки. Если организации уже сталкиваются с ограничениями ресурсов, попытка настроить SOAR становится еще более сложной задачей, поскольку у них может не быть достаточного количества людей для эффективной обработки инцидентов при одновременном поддержании SOAR.
В зависимости от того, что анализируется, может потребоваться участие человека. Например, при работе с критическими активами, сканировании уязвимостей или идентификации всех учетных записей root и администратора в системе важно, чтобы внутренняя служба управления персоналом просматривала и проверяла информацию.
Примечание: Эта статья написана со знанием дела и внесена А.Дж. Ледвином, научным сотрудником отдела технического директора ReliaQuest.
Хотя автоматизация дает значительные преимущества, не существует надежного метода или процесса, гарантирующего успех. Четкие определения, последовательная реализация и стандартизированные процессы имеют решающее значение для достижения оптимальных результатов. Без рекомендаций ручные методы, отнимающие много времени, могут подорвать эффективность автоматизации.
В этом блоге рассматриваются проблемы, с которыми сталкиваются команды по обеспечению безопасности при внедрении автоматизации, и практические шаги, необходимые для создания прочной основы для успешного внедрения.
Задача автоматизации
Организации часто сталкиваются с трудностями при автоматизации из-за отсутствия хорошо документированных процессов и ограниченных ресурсов. Из-за постоянных оповещений и необходимости тушения пожаров группы безопасности часто разбросаны по всему миру, и у них остается время только на то, чтобы сосредоточиться на стоящей перед ними задаче. Это практически не оставляет им времени на надлежащее документирование процессов и процедур. Это, наряду с другими факторами, такими как зрелость и контролируемость процессов, усугубляет проблемы, с которыми сталкиваются группы безопасности при внедрении автоматизации. Успешная автоматизация требует прагматичного подхода, при котором команды определяют и расставляют приоритеты в процессах, которые выполнимы и оказывают наибольшее влияние на эффективность и снижение рисков.При рассмотрении возможности автоматизации становится важным оценить, могут ли существующие процессы и процедуры быть полностью автоматизированы от начала до конца. Не все задачи подходят для полной автоматизации. Решение об автоматизации определенных процессов должно основываться на таких факторах, как уровень зрелости организации, доступное время и ресурсы, а также способность отслеживать и обеспечивать осуществимость усилий по автоматизации. Требуется тщательная оценка, чтобы определить, имеет ли смысл автоматизация и может ли она эффективно оптимизировать операции по обеспечению безопасности.
Определение степени зрелости автоматизации
Для достижения эффективной автоматизации безопасности организации должны оценить свою готовность и уровень зрелости. Комплексная оценка включает оценку трех важнейших процессов расследования.Сбор доказательств
Этот процесс включает в себя запрос информации по всей технологической среде организации. Исторически самой большой проблемой этого процесса было то, что он выполнялся вручную. Организации обычно располагают множеством различных технологий, каждая из которых говорит на своем собственном языке, что приводит к значительному количеству времени, затрачиваемого на переход от инструмента к инструменту сбора данных для любого конкретного расследования.Автоматизация может значительно улучшить этот этап за счет унификации и упрощения запросов, тем самым устраняя сложности, связанные с различными системами ведения журнала и номенклатурами запросов. Здесь может оказаться чрезвычайно полезным решение для организации безопасности, автоматизации и реагирования (SOAR). Однако основное препятствие при внедрении SOARs заключается в интеграции, обслуживании и доработки. Если организации уже сталкиваются с ограничениями ресурсов, попытка настроить SOAR становится еще более сложной задачей, поскольку у них может не быть достаточного количества людей для эффективной обработки инцидентов при одновременном поддержании SOAR.
Анализ
После сбора доказательств начинается этап анализа результатов сбора доказательств и их сопоставление с внутренними и внешними данными. Автоматизация может помочь извлекать аналитические данные, выявлять закономерности и ускорять обнаружение потенциальных угроз, но важно отметить, что процесс анализа часто требует вмешательства человека для обеспечения точности и эффективности.В зависимости от того, что анализируется, может потребоваться участие человека. Например, при работе с критическими активами, сканировании уязвимостей или идентификации всех учетных записей root и администратора в системе важно, чтобы внутренняя служба управления персоналом просматривала и проверяла информацию.
Исправление
Этот процесс включает в себя эффективное реагирование на достоверные оповещения в среде. Исправление в значительной степени зависит от эффективности всего, что было создано до этого. Будет чрезвычайно сложно быть уверенным в процессе исправления, если у вас нет всех необходимых данных или если в вашей внутренней или внешней разведке имеются пробелы.Практическая разработка средств автоматизации
Крайне важно понимать, какие процессы и процедуры используются при реагировании на угрозы. В зависимости от того, на каком этапе развития находится организация, может быть сложно понять, с чего начать внедрение автоматизации. Создание прочной основы для автоматизации предполагает следование систематическому и итеративному подходу. Ниже приведены пять шагов, которые организации могут использовать для более эффективного внедрения автоматизации:- Опросите группы безопасности: обсудите с группами безопасности их существующие процессы и определите варианты использования, подходящие для автоматизации.
- Определите возможности использования вариантов автоматизации: Определите варианты использования на основе этих интервью. Отдавайте приоритет крупномасштабным, повторяющимся задачам или задачам, требующим значительных человеческих усилий. Сосредоточьтесь на одном процессе за раз, чтобы избежать осложнений, вызванных ускоренным выполнением нескольких процессов без надлежащего понимания и разработки.
- Результаты документирования: На этапе документирования проанализируйте действия в консолях и сравните их с соответствующими конечными точками API. Изменение технологий и неожиданные переменные могут нарушить процессы. Для предотвращения любых сбоев крайне важно иметь четкое представление об используемых API и тщательно документировать полученные результаты. Интегрируя эту документацию в общий рабочий процесс, можно оперативно выявлять и устранять любые отклонения от первоначальных предположений.
- создайте цикл обратной связи: учитывайте идеи, предложения и опыт команды по обеспечению безопасности на протяжении всего процесса разработки, чтобы обеспечить соответствие решения по автоматизации потребностям организации и повысить производительность.
- Измеряйте и оценивайте: После внедрения автоматизации измерьте ее эффективность. Постоянно оценивайте воздействие и собирайте отзывы от команды безопасности. Используйте эти аналитические данные для точной настройки методов автоматизации и решения любых возникающих проблемных ситуаций.
Заключение
Внедрение автоматизации имеет решающее значение для организаций в борьбе с растущими угрозами безопасности в современном цифровом ландшафте. Это упрощает задачи, уменьшает количество человеческих ошибок и позволяет группам безопасности сосредоточиться на более ценных инициативах. Однако успех в автоматизации требует четких определений, последовательного внедрения и стандартизированных процессов. Организации должны оценивать осуществимость, готовность и уровень зрелости и следовать системному подходу к практическому развитию автоматизации. Интегрируя автоматизацию в существующие рабочие процессы и определяя соответствующие варианты использования, группы безопасности могут максимизировать преимущества и использовать опыт профессионалов. Надежная основа для автоматизации может сократить время отклика, повысить точность, свести к минимуму ошибки и улучшить обнаружение угроз в различных процессах обеспечения безопасности организаций.Примечание: Эта статья написана со знанием дела и внесена А.Дж. Ледвином, научным сотрудником отдела технического директора ReliaQuest.
