考慮購買安全編排、自動化與響應(yīng)(soar)解決方案的公司企業(yè),往往會擔心自己現(xiàn)有的事件響應(yīng)項目尚未成熟到可實現(xiàn)帶自動化與編排功能的綜合性平臺的程度。如果幾乎沒有任何基礎(chǔ),從零起步似乎甚為艱難,尤其是團隊中無人有事件響應(yīng)或安全編排解決方案經(jīng)驗的時候。
雖然大家都不想僅僅是往低效過程中添加自動化就完事兒,但如果老方法本身已不夠好,進一步鞏固這種舊有的安全事件處理方式顯然更不科學(xué)。
如果你想要改善公司安全運營,但不知道從何處著手,以下幾步或許可以幫你準備好遷移到SOAR平臺。
1. 盤點當前運營狀況
認為自己不具備事件響應(yīng)項目的公司各有各的道理。無論有沒有SOAR或事件響應(yīng)平臺,每家公司都有些管理安全事件的方法,即便可能涉及很多即興動作和臨時過程。
準備實現(xiàn)SOAR平臺的時候,可以花點時間與公司利益相關(guān)者談?wù)劊私猱斍斑^程及這些過程的有效性(或無效性)。這其中應(yīng)當包括梳理工具清單:
-
IT和信息安全的現(xiàn)有基礎(chǔ)設(shè)施有哪些?
-
有沒有什么工具可供進行數(shù)據(jù)豐富操作?
一旦弄清楚了手頭有哪些工具可用,你就可以將這些工具都映射進事件響應(yīng)生命周期中,比如 NIST 800-61r2 標準中描述的那種,并識別出公司當前還缺些什么。
接下來,查看一下公司遵從的事件響應(yīng)過程或手冊。看看安全運營中心(SOC)內(nèi)部是怎么協(xié)作的?又是怎么與IT和數(shù)據(jù)隱私組織等其他團隊協(xié)作的?公司如何保持在事件響應(yīng)過程中的法律合規(guī)與監(jiān)管合規(guī)?公司團隊是如何管理網(wǎng)絡(luò)釣魚或惡意軟件之類當前常見安全事件的?
如果有可用的衡量標準,請仔細審查,找出運作良好的部分和需要改進的地方。比如說:
-
檢測并響應(yīng)安全警報耗時多久?
-
哪些活動占據(jù)了安全分析師太多時間?
如果沒有正式指標可用,那就詢問安全分析師和經(jīng)理,讓他們給出自己的評估。
2. 找出最適用于自己公司的功能,以及提供這些功能的平臺
在市場上有多種SOAR平臺可供選擇,但要縮小選擇范圍,可以花些時間確認對自己而言最為關(guān)鍵的功能。想要首先自動化的過程是哪些?什么問題是你安全團隊最為棘手的?存不存在重復(fù)發(fā)生的安全事件、數(shù)據(jù)孤島或過程瓶頸?你的分析師可以幫你回答這些問題。
每個平臺都有各自側(cè)重的安全運營方面。這些功能大致可分為以下幾類:
-
警報管理:幫助SOC分揀、評估并關(guān)閉出自SIEM和其他源系統(tǒng)的持續(xù)安全警報流。
-
分類:通過從威脅情報和歷史事件記錄等外部和內(nèi)部源收集上下文信息,幫助分析師做出決策。
-
事件響應(yīng):包含戰(zhàn)術(shù)手冊、任務(wù)管理、鏈接分析等功能,支持有效且可重復(fù)的響應(yīng)工作流。
-
這句話可以重寫為:”報告和分析功能支持自動化或定期生成報告、生成詳細的SOC指標,并為不同的系統(tǒng)用戶角色提供可定制的儀表板。”。
-
合規(guī)與跟蹤:比如審計跟蹤、保管鏈和通用合規(guī)報告模板。
-
案件管理包括支持調(diào)查人員與其他團隊協(xié)作的功能、存儲相關(guān)事件案例的目錄、有指導(dǎo)的調(diào)查工作流程和證據(jù)管理。
3. 試著草擬一份戰(zhàn)術(shù)手冊
你可以嘗試為你最關(guān)鍵的用例起草一本策略手冊,以獲得關(guān)于如何使用SOAR平臺的實際理解。然后,指出你覺得可用自動化和編排來加以增強的步驟。
供應(yīng)商或行業(yè)機構(gòu)提供了在線戰(zhàn)術(shù)手冊樣例,這些樣例應(yīng)該可以為您的步驟提供參考。通過對公司現(xiàn)有過程進行評估,并與公司分析師進行討論,可以獲得更有價值的信息,其中包括常見用例或重要用例。你可以以最典型的用例,如網(wǎng)絡(luò)釣魚、可疑數(shù)據(jù)泄露或惡意軟件感染,作為你的安全環(huán)境應(yīng)用的起點。
如果你沒有任何正式的事件響應(yīng)項目,那實現(xiàn)SOAR解決方案、事件響應(yīng)平臺或任意其他重要安全工具都會很困難。只要按照上述步驟去做,你就能更加了解自己的情況,知道自己應(yīng)該走什么路線并達到什么結(jié)果。
