为什么信息安全的未来取决于自动化

最后更新于2023年6月20日星期二18:58:16 GMT

在Ponemon研究所和领域工具进行的一项调查中, 51%的受访者表示他们相信这一点 security automation 将裁减安全部门的人员(高于上次调查的30%). 我得读两遍才能理解，所以就读吧. Fifty. One. Percent.

现在，我不能说这是错的. 毕竟，这是一个情绪型的民意调查问题. 我能说的是，这种信念是错误的, 当然也是第一次工业革命的产物.

如果你是一名管理人员或决定用自动化取代安全部门的人员, 请停下来再考虑一下. 安全部门是否真的缺少工作，以至于用自动化取代少数流程会让人类无事可做? 即使是最成熟的安全程序也有积压的工作，可能会让员工忙上好几年.

如果你是一个个人贡献者，担心自动化将取代你所做的事情, well, you’re right. 强大的安全自动化工具 把每天要重复100次的日常工作自动化. 毕竟，你今天使用的工具曾经取代了你必须执行的一些平凡的任务.

我很难将波耐蒙报告的结果与我们在信息安全领域的未来取决于自动化这一事实相协调. 我所知道的是我有51%的人需要接触.

为什么要把自动化放在首位?

自动化解决方案 是否至关重要，因为我们在安全项目中试图实现的大多数结果都是基于时间的. 没人希望事情拖得更久, 因此，这些结果是通过减少时间(从而降低成本)来实现效率的。.

以下是业务和安全领导者希望实现的一些示例结果:

• 尽量减少对危急情况作出反应的时间
• 尽量减少修复漏洞所需的时间，包括手动和自动方式
• 尽量减少验证警报所需的时间
• 尽量减少你花在处理事件上的时间

这些结果来自Rapid7最近与客户完成的一些工作. 练习的目标是使用我们的用户体验研究专家与我们的客户一起工作，并确定他们在工作中试图实现的结果.

根据Rapid7的最新数据 Threat Report, 超过80%的组织在入侵后必须执行的任务需要低水平的努力，但都是高优先级的. 一些例子包括:

• 修改密码、锁定帐号、移除帐号
• 阻断IP、域名、哈希、邮件
• 终止恶意进程

商业领袖重视节省时间, 由于安全分析师每天执行大量重复的任务，他们越来越感到沮丧和不满. 在时间最紧迫的时候，我们需要完成的任务是非常耗时的.

如果这还不是“自动化”的话!作为这些问题的答案，我还有一个问题要告诉你:攻击者正在自动化一切. 我不能告诉你有多少.bat and a.我们在调查期间恢复的Sh文件(在序列自动化中运行命令的脚本). 在将结果发送给攻击者之前，它们完成了收集和排序信息的艰苦工作. 这甚至没有考虑到攻击者用来收集有关其目标(包括组织和人员)的信息的大量自动化。.

使用Rapid7的InsightConnect实现自动化

我希望我能让你相信自动化的价值, 但我可能还没有说服你，我们的未来取决于它. 所以，我联系了我的朋友 InsightConnect 他们给我提供了一些数据. First, the 安全编排和自动化(SOAR)剧本 提供了七个工作流程作为“入门指南”，帮助您从SOAR解决方案中获得价值:

• 网络钓鱼的调查
• 发放和取消发放用户
• 恶意软件控制
• Alert enrichment
• 分布式警报(在聊天中)
• Threat hunting
• 打补丁和补救 (请注意，这是非常复杂的，因为现有的补丁程序在各个阶段都严重依赖于人工检查. 虽然在技术上可以实现端到端自动化, 大多数组织选择部分自动化支持).

So, 有了你团队的一些成果, 你已经淘汰了Rapid7的MDR团队最推荐的两个动作, hours, 甚至需要几天到几秒钟来运行一个自动化的工作流.

再从InsightConnect团队的数据中挖掘一点, 我们在前10名中看到了以下插件:

• 微软SCCM和IBM BigFix 自动打补丁. (同样，与上面提到的相同的警告.)
• virtustotal和urlscan 向警报添加上下文，以便分析人员能够更快地验证它们.
• ServiceNow 在支持团队(如IT)中加入现有的工作流
• Proofpoint和PaloAlto 用于url和IP地址的主动防御
• Active Directory LDAP / 修复用户帐户

所以开箱即用, with some work, 像InsightConnect这样的自动化工具已经完成了以下工作:

• 减少了修复对您组织的攻击所需的时间
• 确保您有能力快速实现来自的顶级建议 Rapid7's MDR team
• 通过快速有效地修复漏洞管理流程的某些部分来减少攻击面
• 连接不同的安全工具，以便它们可以一起运行(相同的工作流可以阻止Proofpoint和PaloAlto中的IP)
• 让你的分析师对他们调查的威胁有更多的了解，从而让他们高兴
• 为您执行某些操作的频率创建一个度量源
• 为自己提供一个完整的自动化功能工具箱，以进一步加快现有流程

有了新发现的时间, 您的威胁分析人员可以开始积极主动地识别可以改进安全性的领域. 他们可以与组织中的其他团队进行交互，并提供用户教育. 我建议Rapid7 MDR客户采取主动措施. 他们可以接受培训，以便及时了解威胁形势的最新变化. 这种可能性是无限的，因为拥有更多空闲时间的员工会花更多的时间让自己对公司更有价值.