Максимальное увеличение ваших инвестиций за счет автоматизации безопасности

Посмотрим правде в глаза, мы много лет говорили об автоматизации безопасности. Мы пытались понять, что, когда и как автоматизировать. Мы обсуждали тему «человек против машины». И в определенные моменты, когда нас «сжигали» (автоматическое отключение системы по ошибке), мы задавались вопросом, есть ли вообще место для автоматизации. Но в глубине души мы уже много лет знаем, что будущее за автоматизацией. Теперь будущее наступило.

В то время как большинство организаций имели хотя бы минимальную автоматизацию ключевых процессов безопасности и реагирования на инциденты (IR), события 2020 года стали переломным моментом, говорит Нур Булос из ThreatQuotient . . Новый SANS В отчете обсуждается, как глобальная пандемия вынудила многие организации ускорить реализацию своих планов по автоматизации, при этом они расставляют приоритеты в своих инвестициях и планах на будущее. В опросе участвовали компании любого размера, представляющие самые разные отрасли и работающие в Северной Америке, Европе, Азиатско-Тихоокеанском регионе и Африке.

Вот некоторые из основных выводов:

• Почти треть организаций указали, что их планы по автоматизации ускорились из-за пандемии COVID-19.

• Более 80% организаций имеют хотя бы частичную автоматизацию ключевых процессов безопасности и IR, по сравнению с 47% в 2020 году.

• Если заглянуть глубже, IR-процессы показали наиболее значительный рост автоматизации:масштабная автоматизация подскочила почти на 18%, с 10,5% в 2020 году до 28,3% в 2021 году.

• Операции по обеспечению безопасности и обработка событий или предупреждений остаются приоритетной областью автоматизации, при этом 35,5% респондентов сообщают о масштабной автоматизации.

• Будущее автоматизации безопасности выглядит безоблачным:85% планируют автоматизировать ключевые процессы безопасности и IR только в ближайшие 12 месяцев.

Когда вы заглядываете в будущее и используете результаты этих опросов, чтобы лучше понять, как расширить использование автоматизации в операциях по обеспечению безопасности, важно подумать, когда применять автоматизацию в жизненном цикле безопасности, чтобы максимизировать ценность для бизнеса.

В ThreatQuotient мы долгое время считали, что данные - это жизненная сила для автоматизации обнаружения и реагирования, поэтому ключ к эффективной автоматизации начинается с данных. В качестве примеров возьмем два основных варианта использования в отчете:сортировка предупреждений и реагирование на инциденты.

Сортировка предупреждений:

Аналитики завалены количеством предупреждений, требующих внимания человека, генерируемых шумными правилами SIEM и инфраструктурой защиты по умолчанию. В попытке уменьшить объем и скорость предупреждений системы безопасности, с которыми они должны сталкиваться ежедневно, аналитики применяют внешние данные об угрозах и данные об угрозах непосредственно в SIEM, но проблемы сохраняются по двум основным причинам.

Во-первых, количество данных о внешних угрозах ошеломляет. Отправка всех этих данных непосредственно в SIEM для корреляции приводит к появлению множества неконтекстных предупреждений, каждое из которых требует значительных усилий со стороны аналитика для исследования. Во-вторых, в текущих инструментах отсутствуют возможности поддержки принятия решений для обеспечения дополнительного контекста и понимания для определения релевантности, прежде чем применять потоки аналитических данных об угрозах непосредственно в SIEM. Приоритезация необходима для того, чтобы сосредоточиться и определить соответствующие следующие действия, которые необходимо предпринять в процессе сортировки предупреждений.

С помощью платформы ThreatQ вы можете решить проблему сортировки предупреждений и остановить бесполезные предупреждения до того, как они появятся, ТОЛЬКО путем предоставления информации об угрозах, актуальной для организации. Благодаря автоматическому применению контекста, релевантности и приоритезации данных об угрозах до их применения в SIEM, SIEM становится более действенным и действенным.

Индивидуальные оценки аналитики угроз, основанные на заданных вами параметрах в сочетании с контекстом, позволяют расставлять приоритеты в зависимости от того, что имеет отношение к вашей конкретной среде. Теперь, используя подмножество данных об угрозах, которые были собраны в аналитику угроз, дополнительный оверлей позволяет SIEM генерировать меньше ложных срабатываний и сталкиваться с меньшими проблемами масштабируемости.

Реакция на инцидент:

Текущий подход к обеспечению безопасности, автоматизации и реагированию (SOAR) сосредоточен на автоматизации процессов. Проблема заключается в том, что в применении к обнаружению и реагированию ориентированные на процессы playbook по своей сути неэффективны и сложны, потому что критерии и логика принятия решений встроены в playbook, и обновления должны быть сделаны в каждой playbook. Эта сложность растет экспоненциально по мере увеличения количества сборников пьес. Автоматизация и оркестровка зашумленных данных лишь усиливает шум.

С помощью ThreatQ TDR Orchestrator вы можете использовать упрощенный, управляемый данными подход к SOAR, где данные или информация управляют запуском playbook, а данные, полученные в результате предпринятых действий, используются для аналитики и улучшения отклика в будущем. Внедрение «умных средств в платформу», а не отдельных учебников, обеспечивает более простую настройку и обслуживание, а также более эффективные и действенные результаты автоматизации. Пользователи могут заранее контролировать данные и расставлять приоритеты, автоматизировать то, что имеет отношение к делу, и упрощать предпринимаемые действия.

Автор - Нур Булос из ThreatQuotient