安全编排与智能自动化的临界差异

由Kumar Saurabh,CEO和Co-Forder,Logichub

勒索软件,IOT攻击,网络钓鱼,云漏洞 - Secops工作负载增加有很多原因。为了减少安全分析师的这种不断增长的负担,许多Secops团队正在探索新的安全架构和自动化的用途。

Secops团队有丰富的解决方案 - 和首字母缩略词 - 选择。他们可以评估安全自动化和编程(SAO)产品,安全编程自动化和响应(SOAR)产品(Gartner推荐),或基于安全运营和分析平台架构(SOAPA)的产品(由ESG推荐)。

SAO,SOAR和SOAPA以多种方式各不相同,包括他们依靠编排和各种类型的自动化。

Secops团队如何决定哪种方法是正确的?

从自动化中区分分析

通过雾切割的良好第一步是区分分析从自动化。分析是一种帮助分析师进行手动调查的工具。它为评估警报和IOC提供数据和见解。通过必须调查每个分析师的时间,分析师的时间是不生产的,在筛选出误报方面。

今天,Analytics支持分析师的决策。但是,智能自动化必须用决策科学替换分析。自动化本身需要足够先进,以准确地杂草通过误报的种子并标记它们。分析不是自动化,我们不应该将它们与同一桶进行比较。

管弦乐队是不够的

sorchestration连接工作流的各个组件。通过将不同的系统在一块窗格的窗格中携带,编排器减少了分析师必须登录并咨询的独立产品数量,作为执行他或她的工作的一部分。它还提供了一种在不同团队之间切除任务的机制。

Orchestration Solutions是面向任务的,旨在采取行动,例如将端点隔离从网络中或在案例管理系统中打开票证。它们最突出地用于事件响应,以及收集调查数据。

这些解决方案有助于在调查工作流程中将各种步骤和移动件绑在一起。但是,确定警报是否是假阳性的行为仍属于分析师。在大多数客户情况下,我们看到分析师每天收到数百个警报,通常为90-95%的人将是误报。决定分析师的负担仍然征税,昂贵和无法管理。

我们从根本上面认为,自动化可以极大地帮助分析师,而不仅仅是在重复行动中,更有用的是每天有几十次的关键决策。

自动化类型

OrchAstration仅提供一种基本的自动化形式。为了进一步减少分析师的工作负载,Secops团队需要更智能的解决方案,将自动化应用于决策制定的更具挑战性方面。

在评估安全自动化产品时,它很有用了参考哈佛商业评论的三种主要自动化类型。适用于安全自动化的人是:

●机器人过程自动化
●认知自动化

机器人过程自动化自动化大容量,低复杂度和日常任务。这些任务可能是物理的,例如安装铆钉,或者它们可能是基于软件的,例如根据一组规则转换数据集并将输出传输到文件服务器。

认知自动化解决了复杂的非例行,创意或探索性任务,这可能涉及基于该模式识别的结果的大数据集和决策模式识别。认知自动化最近在不同于语言翻译(例如,谷歌翻译)和车辆导航(例如,自动驾驶汽车)中的各个领域取得了重大突破。

自动化和Secops

在今天的Secops产品中应用了这些各种类型的自动化如何?

今天Secops的绝大多数自动化是机器人过程自动化。例如,当编排产品处理指令以关闭特定的防火墙端口或打开故障票证,这是机器人过程自动化。已经快速有效地执行了一个明确的过程,但过程本身尚未改变或优化,并且Secops系统本身从经验中没有学习。

机器人自动化可以通过最大限度地减少“转椅”任务来帮助减少工作负载。它可以保存分析师打开故障门票的麻烦,更改防火墙规则等。但它不能解决分析数十亿警报以检测隐藏威胁的耗时挑战。

从真正的安全威胁中对误报进行排序,需要先进的认知能力。新一代Secops解决方案适用认知自动化来提高威胁检测的准确性,从而加速减轻威胁的缓解。

这些新的安全自动化产品应用机器学习技术来快速分析SIEM警报和其他上下文数据。它们的深度排名和相关算法比SIEM系统使用的简单规则的匹配更复杂地进行分析。这些产品甚至可以考虑到事件的背景,这使得它们更容易识别误报。与通过死记硬背操作的机器人自动化产品不同,认知自动化系统接受安全分析师的反馈和调整,因此他们可以从经验中学习并随着时间的推移变得更加准确。

用Secops要求对齐智能自动化

通过将自动化从编排和机器人自动化中脱离认知自动化,可以提出应用自动化和管弦郎的基本标题,以减少工作负载并改善SOC的结果:

●事件响应 - 使用Orchestration应用机器人自动化以打开票证并进行配置更改以缓解威胁。
●警报分类-OrcheStration有助于收集调查数据,但为了获得最佳结果,使用认知自动化将误报与真正的威胁区分开,并快速理解这些威胁,以便他们可以停止。
●威胁狩猎 - 依靠认知自动化以规模进行复杂的分析,发现深相关的相关性以发现未知威胁。

通过考虑到这一标题,Secops团队可以制定投资新的安全技术的策略,相信他们已经对准了对SoC的特定工作要求的新产品能力。

如果SOC由他们正在接收的安全警报量不堪重负,他们应该投资认知自动化。自动化警报分析可以大大加快误报的识别,大大减少了分析师需要调查的警报数量。在某些企业中,认知自动化已经能够将假阳性降低多达95%。

此外,如果SOC担心检测可能留下周期或数月可能遗漏网络的零日威胁或数据泄露,那么认知自动化是必要的。超出基于规则的SIEM的机器学习将能够检测到今天大多数安全产品忽视的威胁。

在评估所有这些方法和技术方面,重要的是考虑到今天的SOC,而且还有什么他们在未来可能需要的东西。安全攻击比以往任何时候都更复杂和目标。企业网络正在变得越来越复杂,并且连接设备的数量可能会爆炸,因为IOT变得更加主流。如果安全工作负载现在很高,则可能在未来几个月内才能变得更高。当然,理想的解决方案是跨越威胁狩猎,警报分类以及事件响应的所有使用案例的解决方案。

Secops团队今天应该探索智能自动化解决方案,因此它们将为甚至销售和更脆弱的未来做好准备。

关于作者
Kumar Saurabh,CEO和联合创始人,Logichub。 Kumar拥有15年的企业安全经验,并在ArcSight and Sapologic的领先产品开发工作中拥有15年的经验。
他对帮助组织提高其安全运营的疗效,并亲自目睹了现有解决方案在帮助SoC分析人员中检测埋藏在警报和活动中山脉内深处的威胁的局面的局限性。
这令人沮丧的是通过建立智能自动化,不仅仅是通过分析来赋予Cyber​​分析师的共同发现Logichub™。

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请