考慮購買安全編排、自動化與響應(soar)解決方案的公司企業,往往會擔心自己現有的事件響應項目尚未成熟到可實現帶自動化與編排功能的綜合性平臺的程度。如果幾乎沒有任何基礎,從零起步似乎甚為艱難,尤其是團隊中無人有事件響應或安全編排解決方案經驗的時候。
雖然大家都不想僅僅是往低效過程中添加自動化就完事兒,但如果老方法本身已不夠好,進一步鞏固這種舊有的安全事件處理方式顯然更不科學。
如果你想要改善公司安全運營,但不知道從何處著手,以下幾步或許可以幫你準備好遷移到SOAR平臺。
1. 盤點當前運營狀況
認為自己不具備事件響應項目的公司各有各的道理。無論有沒有SOAR或事件響應平臺,每家公司都有些管理安全事件的方法,即便可能涉及很多即興動作和臨時過程。
準備實現SOAR平臺的時候,可以花點時間與公司利益相關者談談,了解當前過程及這些過程的有效性(或無效性)。這其中應當包括梳理工具清單:
-
IT和信息安全的現有基礎設施有哪些?
-
有沒有什么工具可供進行數據豐富操作?
一旦弄清楚了手頭有哪些工具可用,你就可以將這些工具都映射進事件響應生命周期中,比如 NIST 800-61r2 標準中描述的那種,并識別出公司當前還缺些什么。
接下來,查看一下公司遵從的事件響應過程或手冊。看看安全運營中心(SOC)內部是怎么協作的?又是怎么與IT和數據隱私組織等其他團隊協作的?公司如何保持在事件響應過程中的法律合規與監管合規?公司團隊是如何管理網絡釣魚或惡意軟件之類當前常見安全事件的?
如果有可用的衡量標準,請仔細審查,找出運作良好的部分和需要改進的地方。比如說:
-
檢測并響應安全警報耗時多久?
-
哪些活動占據了安全分析師太多時間?
如果沒有正式指標可用,那就詢問安全分析師和經理,讓他們給出自己的評估。
2. 找出最適用于自己公司的功能,以及提供這些功能的平臺
在市場上有多種SOAR平臺可供選擇,但要縮小選擇范圍,可以花些時間確認對自己而言最為關鍵的功能。想要首先自動化的過程是哪些?什么問題是你安全團隊最為棘手的?存不存在重復發生的安全事件、數據孤島或過程瓶頸?你的分析師可以幫你回答這些問題。
每個平臺都有各自側重的安全運營方面。這些功能大致可分為以下幾類:
-
警報管理:幫助SOC分揀、評估并關閉出自SIEM和其他源系統的持續安全警報流。
-
分類:通過從威脅情報和歷史事件記錄等外部和內部源收集上下文信息,幫助分析師做出決策。
-
事件響應:包含戰術手冊、任務管理、鏈接分析等功能,支持有效且可重復的響應工作流。
-
這句話可以重寫為:”報告和分析功能支持自動化或定期生成報告、生成詳細的SOC指標,并為不同的系統用戶角色提供可定制的儀表板。”。
-
合規與跟蹤:比如審計跟蹤、保管鏈和通用合規報告模板。
-
案件管理包括支持調查人員與其他團隊協作的功能、存儲相關事件案例的目錄、有指導的調查工作流程和證據管理。
3. 試著草擬一份戰術手冊
你可以嘗試為你最關鍵的用例起草一本策略手冊,以獲得關于如何使用SOAR平臺的實際理解。然后,指出你覺得可用自動化和編排來加以增強的步驟。
供應商或行業機構提供了在線戰術手冊樣例,這些樣例應該可以為您的步驟提供參考。通過對公司現有過程進行評估,并與公司分析師進行討論,可以獲得更有價值的信息,其中包括常見用例或重要用例。你可以以最典型的用例,如網絡釣魚、可疑數據泄露或惡意軟件感染,作為你的安全環境應用的起點。
如果你沒有任何正式的事件響應項目,那實現SOAR解決方案、事件響應平臺或任意其他重要安全工具都會很困難。只要按照上述步驟去做,你就能更加了解自己的情況,知道自己應該走什么路線并達到什么結果。
