考虑购买安全编排、自动化与响应(soar)解决方案的公司企业,往往会担心自己现有的事件响应项目尚未成熟到可实现带自动化与编排功能的综合性平台的程度。如果几乎没有任何基础,从零起步似乎甚为艰难,尤其是团队中无人有事件响应或安全编排解决方案经验的时候。
虽然大家都不想仅仅是往低效过程中添加自动化就完事儿,但如果老方法本身已不够好,进一步巩固这种旧有的安全事件处理方式显然更不科学。
如果你想要改善公司安全运营,但不知道从何处着手,以下几步或许可以帮你准备好迁移到SOAR平台。
1. 盘点当前运营状况
认为自己不具备事件响应项目的公司各有各的道理。无论有没有SOAR或事件响应平台,每家公司都有些管理安全事件的方法,即便可能涉及很多即兴动作和临时过程。
准备实现SOAR平台的时候,可以花点时间与公司利益相关者谈谈,了解当前过程及这些过程的有效性(或无效性)。这其中应当包括梳理工具清单:
IT和信息安全的现有基础设施有哪些?
有没有什么工具可供进行数据丰富操作?
一旦弄清楚了手头有哪些工具可用,你就可以将这些工具都映射进事件响应生命周期中,比如 NIST 800-61r2 标准中描述的那种,并识别出公司当前还缺些什么。
接下来,查看一下公司遵从的事件响应过程或手册。看看安全运营中心(SOC)内部是怎么协作的?又是怎么与IT和数据隐私组织等其他团队协作的?公司如何保持在事件响应过程中的法律合规与监管合规?公司团队是如何管理网络钓鱼或恶意软件之类当前常见安全事件的?
如果有可用的衡量标准,请仔细审查,找出运作良好的部分和需要改进的地方。比如说:
检测并响应安全警报耗时多久?
哪些活动占据了安全分析师太多时间?
如果没有正式指标可用,那就询问安全分析师和经理,让他们给出自己的评估。
2. 找出最适用于自己公司的功能,以及提供这些功能的平台
在市场上有多种SOAR平台可供选择,但要缩小选择范围,可以花些时间确认对自己而言最为关键的功能。想要首先自动化的过程是哪些?什么问题是你安全团队最为棘手的?存不存在重复发生的安全事件、数据孤岛或过程瓶颈?你的分析师可以帮你回答这些问题。
每个平台都有各自侧重的安全运营方面。这些功能大致可分为以下几类:
警报管理:帮助SOC分拣、评估并关闭出自SIEM和其他源系统的持续安全警报流。
分类:通过从威胁情报和历史事件记录等外部和内部源收集上下文信息,帮助分析师做出决策。
事件响应:包含战术手册、任务管理、链接分析等功能,支持有效且可重复的响应工作流。
这句话可以重写为:"报告和分析功能支持自动化或定期生成报告、生成详细的SOC指标,并为不同的系统用户角色提供可定制的仪表板。"。
合规与跟踪:比如审计跟踪、保管链和通用合规报告模板。
案件管理包括支持调查人员与其他团队协作的功能、存储相关事件案例的目录、有指导的调查工作流程和证据管理。
3. 试着草拟一份战术手册
你可以尝试为你最关键的用例起草一本策略手册,以获得关于如何使用SOAR平台的实际理解。然后,指出你觉得可用自动化和编排来加以增强的步骤。
供应商或行业机构提供了在线战术手册样例,这些样例应该可以为您的步骤提供参考。通过对公司现有过程进行评估,并与公司分析师进行讨论,可以获得更有价值的信息,其中包括常见用例或重要用例。你可以以最典型的用例,如网络钓鱼、可疑数据泄露或恶意软件感染,作为你的安全环境应用的起点。
如果你没有任何正式的事件响应项目,那实现SOAR解决方案、事件响应平台或任意其他重要安全工具都会很困难。只要按照上述步骤去做,你就能更加了解自己的情况,知道自己应该走什么路线并达到什么结果。
