企业网络安全自动化的优势与实施策略

本文深入探讨了企业网络安全自动化的必要性,分析了SIEM与SOAR技术的应用现状,揭示了自动化实施过程中的挑战与解决方案,并提供了预算分配和技术选型的专业建议。

自动化必要性

基于当前全球宏观经济结构,2021年上半年预算增加的迹象很少。尽管如此,日益复杂的自动化攻击者正在识别新的漏洞并激活新的企业入侵。对许多人来说,企业网络安全自动化和网络人工智能(AI)似乎是可取的而非强制性的,但未来情况将不再如此。

网络安全高管现在在自动化解决方案搜索中正在去芜存菁。找到具有可证明成果的供应商是必须的。CISO们正在采取协作的主动姿态来应对当前和未来的威胁格局。

自动化要务

普遍要务是通过确保网络安全高管花时间真正保护企业来降低业务风险。自动化承诺提高整个企业的效率并降低成本。随着组织可获得威胁情报技术和数据流的涌入,很容易陷入不可操作的信息中。

关键是将网络安全人员专注于仅具有高影响力的可操作信息。因此,自动化应负责收集数据、关联信息、识别意义并建议适当的行动。

焦点

Cyber Security Hub研究发现,五分之二的高管将SIEM和SOAR自动化技术列为过去6个月中最重要的解决方案:

28% SIEM + 11% SOAR = 39%(61%其他)

迄今为止,Cyber Security Hub社区中约有十分之三的人利用了安全信息和事件管理(SIEM)。然而,该技术的当前批评者指出,SIEM系统只会对问题提供不必要的详细信息,而没有解决问题。这意味着网络安全分析师现在必须筛选大量白噪声,而不是专注于可操作的信息。

SIEM与SOAR

许多人将SIEM技术视为安全编排、自动化和响应(SOAR)系统的前身。SOAR的"和响应"部分暗示了响应的自动化。这是目标;从信息中获取实际情报以编排自动修复。不幸的是,SOAR技术的真正有效性在行业的大部分领域仍然是概念性的。

虽然SIEM和SOAR技术是焦点,但网络安全社区建议这些技术本身有待改进。DBS银行信息安全副总裁Santosh Kamane分享:“现在的自动化旨在找出:‘这些违反我政策的地方在哪里?谁在违反我的标准?‘工具可能会创建数百个日志,但这些工具不太容易阅读或理解,因为它们非常技术性。”

承诺与实际效果

除了行业寻求技术改进外,高管们还希望围绕解决方案的信息传递更加准确。

Horizon Power的CISO Jeff Campbell指出:“目前许多供应商围绕AI和机器学习以及它们如何融入自动化部分进行营销。我认为一些公司在这个领域做得不错,但在威胁的自动响应方面还有很长的路要走。”

他建议,在自动化解决方案方面,行业在解决方案承诺和解决方案实际效果之间存在脱节。

资源分配

有非常大型机构的高管对SOAR技术的结果充满信心,并且能够从内部已经雇佣的分析师角度为这些解决方案提供资源。因此,这些高管对他们获得的解决方案非常满意。对于其他人来说,基于当前人员数量缺乏弹性以及现有员工中缺乏自动化技术所需的具体技能,关键焦点可能必然放在更直接的网络钓鱼防护或电子邮件过滤解决方案上。

自动化阻碍因素

网络安全自动化存在无数阻碍因素。流程从来都不是完美的。然而,人类可以为流程制定变通方法,并在这些流程以人类速度运行时可能捕获漏洞。当自动化一个破碎的流程时,该破碎流程的结果会更快地实现。这意味着未发现和可能呈指数级增长的漏洞可能被暴露,直到发生入侵才被意识到。

自动化本身的问题只是一个阻碍因素。自动化流程和解决方案缺乏标准化意味着全球网络安全高管没有遵循相同的标准,从而为进一步的漏洞奠定了基础。虽然标准化是一个目标,但定制化也是。网络安全系统的复杂性要求围绕自动化技术进行相当数量的定制。技术定制会暴露弱点,并延长与实施相关的时间和成本。

缺乏标准化

向主要分布式劳动力的转变破坏了任何标准化。虽然网络安全高管已经完成了优化远程环境的艰巨任务,但工作仍需完成。因此,传统系统与较新的非现场工具的兼容性并不理想。没有系统的最佳兼容性和互操作性,标准化具有挑战性。没有标准化,基于规则的自动化是困难的。

时间

自动化的关键承诺之一是节省网络安全团队的时间。然而,需要找到适用于特定环境的系统,证明在您的环境中有效,推出,全面实施,调整和资源分配。即使在理想情况下,项目没有其他障碍,这至少是一个六个月的过程。

技能

寻找和推出自动化工具仅仅是在企业内为明智的安全决策提供自动化洞察的基础。CISO们意识到,无论技术合作伙伴如何强调技术的低代码或无代码性质,必须进行内部脚本编写和编码才能充分利用自动化系统。

成本

尽管通过效率节省资金的承诺证明了行动和潜在支出的合理性,但对许多人来说,此时的实际支出很难安排。

自动化控制

随着自动化负责收集数据、关联信息、识别意义并建议适当的行动,问题变成了哪些其他控制可以自动化。当被问及时,Cyber Security Hub社区提供了自动化可以在网络安全中实现提高效率和降低成本原则的无数机会。

这些包括:

  • 识别漏洞
  • 运行渗透测试
  • 聘请道德黑客运行自动化工具和手动脚本
  • 找到修复方案
  • 加快报告速度
  • 在趋势数据中寻找模式
  • 利用数据分析从日志中构建有意义的内容
  • 获取企业行为模式分析

修复和工作流

“修复,但需要注意的是,它在IT领域效果很好,但在OT领域效果不佳。在OT内部,一切都是关于可用性。除了修复,自动化可以协助围绕事件管理的工作流,并自动化其中一些工作流。自动化可以集成到票务系统中,然后会向您的SOC团队发出警报以采取行动。因此,识别您的用例,围绕用例构建工作流并自动化工作流。”

多种技术控制可以自动化,包括:

  • 围绕身份和访问管理的传统流程
  • 数据丢失防护(DLP)
  • 威胁狩猎和响应
  • 威胁情报数据流的摄取
  • 端点检测响应(EDR)

自动化人才

自动化的目标是减轻那些执行越来越多任务时间较少的人员的负担。然而,当内部团队负责编码确保所有系统的无缝集成和互操作性时,自动化最有价值。DevSecOps中所需人才的丰富预示并与自动化中所需人才的丰富重叠。

不同技能集

自动化,特别是在AI和机器学习(ML)领域,需要很好地理解数学和支持对异常进行数学响应的算法。因此,找到理解计算机科学领域的优秀数学人员将始终是一个挑战,因为实际上很少有人对数学有真正深厚的热情。

平台与纵深防御

采用基于平台的解决方案的优势在于它完成了您需要的90%,并且通常所有工具都是集成的。这减少了实施时间并减少了学习时间。每次我们将新工具引入组织…学习它会占用日常职责的时间。您不能在救火的同时学习工具。世界不是这样运作的。

有限的时间和人才可以扩展

无论您看的是69%的组织安全团队人员不足的数据,还是行业中35万个未填补的职位,很明显我们拥有的资源被拉伸得太薄。作为一个行业,我们正在安全配置文件中做出妥协,当我们做出妥协时,坏事就会发生。

扩展当前技能集

网络安全行业内当前的人才问题确实围绕编码和脚本编写。虽然一些解决方案会坦率诚实地说明这类要求,但我认为有很多解决方案试图在"低代码"中最小化需要完成的编码。

他们说他们已经构建了集成,您不需要成为编码专家。根据我的理解,您需要拥有那些技能集才能在这个领域真正成功。您可以做一些基础工作,当然这不应该阻止人们前进。但是,如果您真正希望自动化许多现有的工作流,那么您真的需要拥有那些技能集。这通常不是您在标准运营团队中会看到的。

当前自动化预算

在疫情期间之前,围绕无限边界加强安全是短期和长期预算的一部分,现在在预算中是一个更尖锐的项目。我们询问了Cyber Security Hub社区关于当前资金的去向以及自动化的障碍。

分布式劳动力支持和监控

肯定更关注远程工作,因为那是我们看到大多数威胁的地方。您如何监控所有远程工作活动?您如何继续掌握行为模式?我们必须确保远程发生的一切都在我们的控制之下。

第二件事是零信任架构。您如何构建真正的零信任网络?第三件事是在技术上发展自己以减轻任何这些领域的漏洞,特别是开源。

IAM和PAM

自动化将在身份和访问管理(IAM)中扮演很好的角色,特别是围绕特权访问管理(PAM)和基于身份在组织结构内移动的动态角色和职责分配。我认为IAM和PAM需要在自动化威胁情报方面结合起来。

其次,我们现在有如此多的威胁数据流。自动化对一些威胁数据流的一些响应,以便我们只呈现我的分析师需要关注的那些,将是非常有益的。最终目标将是添加安全运营中心(SOC)自动化并开发SOC响应背后的编排。

第三是围绕邮件网关响应网络钓鱼尝试的方式以及端点和端点的自动检测和响应(ADR)组件的自动化之间的平衡。

云演进

云对我们来说仍然是一个巨大的领域。从云访问安全代理(CASB)的角度来看,这是我们希望成熟和发展的东西。我认为数据丢失防护是另一个,特别是在涉及云时不断变化的障碍。我们一直非常以内部部署为中心,我们在那里有很好的控制,但从中改变和适应是目标。

最后,将身份和访问管理集成到这些不同的系统中。我认为自动化在那里肯定也有一席之地。

FireMon的Woods指出,虽然预算紧张,但网络安全高管将不得不找到投资某种自动化的方法,仅仅是为了跟上变化的步伐。

未来自动化预算

日益复杂的自动化攻击者正在识别新的漏洞并激活新的企业入侵。因此,网络安全高管处于必须在运营中引入自动化但缺乏资金资源来执行的境地。

我们询问了Cyber Security Hub社区如何最好地将有限的可用资源用于自动化,或者他们可能如何花费新发现的资金。

概念验证(POC)用例

我们测试了一个解决方案,它比我们现有的解决方案多捕获了11%的垃圾邮件。该解决方案标记了引爆恶意软件负载的可疑网络钓鱼电子邮件,在用户甚至不知道的情况下在后台识别它们会引爆消息并找出有效负载。然后根据它现在拥有的情报围绕此采取行动。

自动化行动工作流

自动化行动工作流。采取自动行动的工作流,或将通知分析师在阻止发生之前必须批准该阻止。

SOAR框架

我肯定会用找到的资金来构建我的预防性控制以减轻风险。我将开始定制SOAR。SOAR更多的是将您的漏洞管理提升到下一个水平,然后在此基础上创建剧本。

然后,我将自动化修复,超越信息安全并依赖多个业务单元一起工作。这是我将更专注于如何构建那个强大的SOAR框架的地方。

SOAR和威胁狩猎

SOAR或威胁狩猎。我说SOAR是因为那个摄取过程意味着您的分析师将他们有限的时间和注意力集中在那些最有趣和可能最危险的事件上。

我还会投资威胁狩猎的自动化,因为它是一个力量倍增器。运行一次威胁狩猎没有好处,因为如果您在周四运行一次而在周五不运行,您对过去24小时内发生的变化没有良好的感知。在我们持续参与和/或向前防御的世界中,拥有这种持续的检测和驱逐能力是如此必要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次