SOAR (Security Orchestration, Automation and Response) dianggap sebagai penyelesaian ikonik SOC generasi akan datang dan mekanisme utama untuk meningkatkan kecekapan operasi keselamatan.
Seperti yang kita sedia maklum, fokus SOC generasi akan datang adalah untuk meningkatkan keupayaan pengesanan dan tindak balas. Walau bagaimanapun, realiti menunjukkan bahawa pasukan operasi SOC menghadapi tekanan yang luar biasa, kadar penggera palsu terus meningkat, dan masa tindak balas min (MTTR) sentiasa sukar untuk diperbaiki. Oleh itu, industri keselamatan dan pasukan keselamatan perusahaan mempunyai harapan yang tinggi untuk penyelesaian SOAR, mengharapkan untuk meningkatkan kecekapan SOC dengan ketara dalam mengesan dan bertindak balas terhadap ancaman melalui penggunaan SOAR.
Parti A mesti faham bahawa jika ia gagal melaksanakan penyelesaian SOAR dengan betul, ia akan menghadapi cabaran baharu. Tanpa perancangan yang betul, perniagaan yang menggunakan alat automasi keselamatan boleh menjadi mangsa kepada kesilapan langkah biasa yang boleh membawa kepada pengurangan kecekapan dan postur keselamatan yang lemah.
Ringkasnya, perusahaan perlu mempertimbangkan banyak faktor apabila memilih penyelesaian SOAR yang sesuai. Berikut ialah pandangan dan cadangan yang diberikan oleh beberapa pakar keselamatan asing mengenai pemilihan SOAR:
Rishi Bhargava, Naib Presiden Strategi Produk di Palo Alto Networks
Pelaksanaan SOAR penyelesaian Ia bukanlah satu proses yang mudah daripada "kekurangan" kepada "pemilikan". Perusahaan perlu menilai proses sedia ada dan susunan alat keselamatan mereka dan kemudian memilih pendekatan penggunaan yang sesuai.
Ekosistem adalah kritikal: Penyelesaian SOAR perlu dapat disepadukan merentas alatan vendor yang anda gunakan pada masa ini. Pilihan untuk pembangunan dalaman atau penyepaduan tersuai harus disediakan. Penyelesaian SOAR yang boleh dipercayai harus dapat mengikuti perkembangan perusahaan dan dipertingkatkan secara berterusan. Mengintegrasikan proses pengesanan, pengayaan dan pelaksanaan dengan sempurna serta alatan yang berkaitan.
Keupayaan pengurusan tiket dan kes yang berkuasa: Sambutan insiden jarang bermula dan berakhir dengan automasi. Penganalisis sentiasa terlibat dalam penyiasatan insiden. Tanya vendor: Adakah platform SOAR anda menawarkan pengurusan kes asli secara asli, atau adakah ia disepadukan dengan alatan yang berkaitan Bolehkah anda menyusun semula garis masa kejadian dengan mudah tanpa banyak pengekodan? >Pengurusan perisikan ancaman bersepadu: Aliran kerja perisikan ancaman manual memakan masa dan tidak berskala, jadi automasi pengurusan perisikan ancaman bersepadu akan mengurangkan purata masa tindak balas anda dengan ketara.
Penyerahan yang fleksibel: Platform SOAR harus menyokong penggunaan tempatan dan penggunaan dihoskan awan. Untuk persekitaran teragih, cari persekitaran yang berskala dan menyokong persekitaran berbilang penyewa sepenuhnya.
Tidak kira di mana anda berada dalam memilih atau melaksanakan SOAR, pertimbangan di atas akan memastikan organisasi anda berada di jalan terbaik.
Tujuan asas penyelesaian SOAR adalah untuk membantu kakitangan keselamatan meningkatkan keupayaan mereka untuk mengesan dan bertindak balas terhadap ancaman siber melalui automasi dan teknologi orkestrasi.
Dengan menghapuskan positif palsu dan mengautomasikan aktiviti berulang, keupayaan automasi SOAR Cyber Security Automation mampu mengendalikan kebanyakan ancaman secara automatik. Gunakan SOAR untuk mengautomasikan tugas yang memakan masa dan berulang, memberikan penganalisis lebih banyak masa untuk menumpukan pada kes yang memerlukan campur tangan manusia.
Fungsi luar kotak SOAR harus dipacu senario, pelan automatik sedia untuk digunakan. Pelan sedia untuk digunakan membantu pasukan mengurangkan masa tindak balas dari jam ke minit dan meningkatkan produktiviti penganalisis.
Set alatan bersepadu lebih berguna daripada alatan keselamatan terpencil kerana ia saling melengkapi. Aspek penting SOAR ialah ia perlu menyepadukan dengan penyelesaian keselamatan sedia ada, infrastruktur IT dan teknologi dalam perusahaan, dan bertindak sebagai keseluruhan persekitaran keselamatan dengan mempertingkatkan kerjasama dan mengatur semua elemen seolah-olah semuanya adalah sebahagian daripada penyelesaian yang sama. hab berpusat.
KPI dan Metrik: Laporan terperinci SOAR tentang kes dan penganalisis boleh membantu pengurus memahami peristiwa bersejarah dan merancang hala tuju masa hadapan dengan lebih baik.
Penyelesaian SOAR harus membolehkan pasukan bekerja merentasi sejumlah besar aliran data yang berbeza Automatikkan proses pengenalan dan tindak balas, menjadikan keutamaan ancaman dan kelemahan hampir lancar dan menjadikan operasi keselamatan jauh lebih cekap. Jika dilaksanakan dengan betul, pusat operasi keselamatan (SOC) boleh mendapat manfaat daripada menggunakan penyelesaian SOAR, membantu mereka bertindak balas terhadap ancaman dengan lebih pantas dan lebih berkesan.
Mengintegrasikan SOAR dengan alatan keselamatan lain, seperti maklumat keselamatan dan pengurusan acara (SIEM), boleh mengubah hasil perniagaan dan teknikal pasukan SOC melalui automasi sambil meningkatkan kecekapan.
Perusahaan boleh menggunakan SOAR untuk meningkatkan keupayaan SIEM untuk menyediakan penyelesaian yang komprehensif. SIEM mengumpul dan menyimpan data dengan cara yang berguna yang boleh digunakan oleh SOAR untuk mengautomasikan penyiasatan dan tindak balas insiden serta mengurangkan keperluan untuk operasi manual.
Dan, untuk cabaran terbesar pasukan SOC setakat ini - positif palsu, penyelesaian SOAR boleh membantu menangkap maklumat, mengutamakan dan menyatukan makluman pendua untuk mengurangkan bilangan positif palsu.
Ketua Pegawai Strategi Universiti Cody Cornell, SwinlaneApabila mempertimbangkan penyelesaian SOAR, perusahaan perlu berfikir dari dua perspektif: Apakah masalah yang perlu diselesaikan oleh automasi operasi keselamatan, dan apakah keperluan yang akan digunakan pada masa hadapan
Lazimnya? , anda menggunakan Alat atau strategi menentang musuh adalah dinamik, bukan statik. Oleh itu, anda harus memilih penyelesaian yang boleh disepadukan dengan cepat dan berskala dengan cepat—bukan sahaja untuk memenuhi keperluan hari ini, tetapi juga untuk memenuhi keperluan masa hadapan.
Kedua, apabila anda melihat perubahan dalam teknik penyerang, adakah anda fikir penyerang juga akan menerima automasi Sebenarnya penyerang bukan sahaja menggunakan automasi untuk menjalankan imbasan, tetapi mereka juga menggunakan kaedah DevOps untuk menyasarkan setiap serangan Bina infrastruktur yang unik.
Jika ini berterusan, anda memerlukan platform automatik yang boleh mengesan dan menyiasat penunjuk kompromi (IOC) dan risikan lain dalam kes dan amaran tanpa campur tangan manusia.
Matthias Maier, Penginjil Keselamatan Splunk
Terdapat beberapa kriteria berbeza yang perlu anda pertimbangkan semasa memilih platform SOAR, dan kriteria mana yang hendak digunakan:
(1) Keupayaan Teras
Pengguna boleh dengan mudah mengenal pasti ini sebagai komponen asas dan fungsi platform SOAR. Beberapa komponen penting, seperti orkestra, bertanggungjawab untuk mengarahkan dan menyelia semua aktiviti yang berkaitan dengan penyelesaian keselamatan yang diberikan. Adalah penting bahawa orkestra menggunakan sumber yang ada secara optimum. Yang lain ialah enjin automasi. Memandangkan tugas automatik dijalankan secara bebas dan sebahagian besarnya tidak memerlukan campur tangan manusia, atribut seperti kebolehskalaan dan kebolehlanjutan platform adalah kriteria penting untuk dipertimbangkan. Pengurusan kes dan program juga perlu dipertimbangkan.
(2) Atribut platform
Ini ialah standard kualitatif. Kriteria ini boleh dinilai dengan lebih kerap melalui pemerhatian dan interaksi dengan platform. Platform SOAR mesti menyokong model komuniti yang kukuh dan memudahkan untuk berkongsi penyepaduan aplikasi dan buku permainan. Ia juga penting untuk memahami cara platform SOAR berskala menegak dan mendatar. Apabila kes penggunaan ditambah dari semasa ke semasa, beban pemprosesan tambahan akan ditambahkan pada platform. Platform yang terbuka, mesra mudah alih dan mudah digunakan juga merupakan pertimbangan utama.
(3) Pertimbangan Perniagaan
Perkhidmatan nilai tambah yang disediakan oleh syarikat termasuk projek yang direka untuk meningkatkan teknologi terasnya, seperti latihan dan sokongan. Tidak kira betapa hebatnya teknologi teras syarikat, faktor di luar produk yang secara tradisinya dianggap mempunyai kesan yang signifikan terhadap proses membuat keputusan pembeli memerlukan perhatian.
Faiz Ahmad Shuja, Ketua Pegawai Eksekutif, SIRP
Satu kajian mendapati pakar keselamatan menerima purata 840 makluman keselamatan setiap hari. Memandangkan kebanyakan makluman mengambil masa kira-kira 15-30 minit untuk menyelesaikan penyiasatan manual, ini adalah tugas yang hampir mustahil untuk mana-mana pasukan keselamatan.
Mengautomasikan sebanyak mungkin beban kerja akan membolehkan pasukan keselamatan mengikuti dan memastikan ancaman penting tidak diabaikan, dan platform SOAR ialah salah satu penyelesaian yang paling berkesan.
Langkah paling penting dalam menjayakan penyepaduan SOAR ialah menyediakan dokumentasi yang boleh dipercayai untuk semua proses keselamatan. Untuk semua proses utama, manual tindak balas yang dibangunkan dengan baik diperlukan. Contohnya, jika e-mel pancingan data yang berpotensi dikesan, respons mungkin termasuk menyiasat alamat pengirim dan mengesan tanda-tanda penipuan, skor reputasi semua URL dan pengesanan skrip berniat jahat. Setelah semua proses ini direkodkan, platform SOAR boleh mula melaksanakannya secara automatik.
Selain itu, organisasi perlu memastikan bahawa platform SOAR yang mereka pilih mempunyai keupayaan integrasi yang kukuh. Platform ini perlu menyepadukan dengan lancar dengan penyelesaian SIEM sedia ada mereka dan berhubung dengan penyelesaian keselamatan lain dan infrastruktur IT yang lebih luas.
Amos Stern, Ketua Pegawai Eksekutif Siemplify
Orkestra keselamatan, automasi dan tindak balas boleh menyelesaikan beberapa cabaran paling mengecewakan yang telah dihadapi oleh pasukan keselamatan sejak sekian lama.
Platform SOAR yang betul, digandingkan dengan pelaksanaan yang baik, boleh membantu mengurangkan beban amaran, mengumpulkan pelbagai alat pengesanan berbeza yang digunakan oleh organisasi, dan membina proses automatik dan boleh berulang untuk mengurangkan masa tindak balas, sambil membebaskan penganalisis keselamatan dari kerja manual yang membosankan dan selalunya membosankan. Membenarkan mereka menumpukan pada kerja bernilai tinggi, seperti memburu ancaman dan membina infrastruktur keselamatan yang lebih berdaya tahan.
Tulis semula ayat seperti berikut: Matlamat teras adalah untuk menyepadukan pelbagai alat pengesanan pihak ketiga, mendapatkan makluman dan mengautomasikan aliran kerja dengan menggunakan API asli.
Walau bagaimanapun, SOAR terbaik boleh bertindak sebagai meja kerja berpusat. Fikirkan seperti Salesforce, ini terpakai kepada penganalisis SOC juga. Penyelesaian SOAR yang perlu anda cari harus mempunyai ciri lanjutan berikut:
Pengurusan kes (terutamanya keupayaan untuk mengumpulkan makluman yang berkaitan dengan konteks);
Kepintaran ancaman bersepadu;
Kerjasama (terutamanya penting dalam persekitaran kerja jauh baharu);
Papan pemuka dan KPI (Untuk memberikan keterlihatan dan wawasan);
Pengurusan Krisis (eskalasi) Tindak balas merentas organisasi sekiranya berlaku insiden kritikal.
Atas ialah kandungan terperinci Bagaimana untuk memilih penyelesaian SOAR. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!