最后更新于2021年8月13日星期五13:09:22 GMT
大多数组织都需要大幅改进其事件检测和响应以及漏洞管理(VM)程序,这已经不是什么秘密了. 如果组织能够在一开始就发现并解决重大安全漏洞,那么他们可以避免多少重大安全漏洞, 当他们还只是小事件的时候?
行业统计数据显示,安全事件的实际平均响应时间(mtrs)非常慢——以天为单位, weeks, 或更多的, 而不是需要几分钟或几小时来大幅降低重大漏洞的风险. 事实上, IBM的数据泄露成本报告 发现组织平均需要207天的时间来检测, 更不用说地址了, 2020年网络安全事件. 不足为奇的是, 在无数的安全漏洞回顾中, 导致破坏的过度暴露窗口通常被发现是这些事件最终爆炸半径的关键因素.
翱翔到一个更好的回应
但是是什么导致了这种过度暴露? 这取决于组织,当然不能归因于任何一件事, 但实际上,每个组织都有太多的安全警报和软件漏洞,而没有足够的人员或时间来调查或适当地响应它们.
那么,答案是什么呢? 更多的人? 这通常是不现实的,因为求职者很难找到,而且一旦找到,成本也很高. 减少警报的数量? 当然,但是是哪些呢? 如果他们需要进行调查,以区分误报和真正的违规行为, 你应该关闭哪些警报?
显然,答案的关键部分是尽可能多地自动化事件响应和VM流程. 如果您可以完全(或大部分)自动响应某些警报和漏洞, 这样更好!
这就是安全编排、自动化和响应(SOAR)系统 Rapid7的InsightConnect,是为了做什么而被创造出来的. 但是一个SOAR平台本身并不能解决自动化问题——它只是一个平台, 毕竟. 组织还需要运行在SOAR平台中的应用程序,并使其发挥作用. 有时称为剧本或工作流, 这些应用程序交付数据, 决策, 集成, 以及自动化事件响应所需的通信, 以及对漏洞进行优先排序和修补所必需的流程.
但就像在飞行的同时重建飞机一样, 一个猛烈的IR是怎么来的, SOC, 或者VM团队找到时间来创建这些自动化应用程序,同时继续解决不断出现的问题?
数量优势:众包工作流程的力量
越来越多地, 我们相信答案在于他们的SOAR产品社区的众包工作流程.
SOAR平台的关键价值之一是,它们实际上是专门的安全社区,用户可以与之共享, 定制, 运行事件响应, VM, 以及其他类型的工作流. With InsightConnect中提取集成、事件响应和VM工作流 扩展库 并将它们快速、轻松地应用于组织的特定需求. 但真正让这个库变得伟大的是当前和未来的应用程序——工作流——你可以找到并检查.
基于Rapid7安全专家提供的数百个现有工作流, SOC分析师, 事件响应人员, 我们最近通过向客户和合作伙伴开放,将扩展库提升到一个新的水平. 最近,我们发布了我们的 贡献一个扩展 在线过程. 这个高度策划的工作流提交系统使Rapid7的客户和合作伙伴能够安全地与社区分享他们喜欢的工作流.
本着开源软件的精神, Rapid7作为这些提交内容的管理者,并审查它们的隐私, 安全, 基本效用. 我们相信 这个扩展的扩展库 经验将帮助组织激励他们的事件响应和虚拟机程序, 通过应用最佳实践和自动化, 减少发生重大安全事件的可能性.
潜在自动化应用程序的多样性只受到社区想象力的限制——它们甚至不局限于纯粹的事件响应或VM自动化. 安全团队重复且主要是手动执行的任何流程都是自动化的最佳候选. 大多数安全团队当然需要一些激励的帮助,而来自同行的一些新见解可能正是他们需要的火花.
