SecOps 自动化:用例以及如何克服关键挑战
了解什么是 SecOps 自动化、SecOps 自动化的各种用例以及 Stellar Cyber 如何帮助组织克服关键的 SecOps 自动化挑战。
安全运营 (SecOps) 已达到临界点:用于保障组织安全的工具数量众多、相互重叠且高度精细——分析师们不得不全力以赴地识别和交叉比对各自发现的问题。然而,攻击者却不断从这些漏洞中钻空子。
安全运营自动化有望彻底革新 SecOps 与当今海量安全数据的交互方式,提供增强的威胁检测和合规性。本指南将探讨各种自动化形式,从下一代 SIEM 自动化到全自动响应方案。此外,我们还将介绍新型自动化项目面临的关键挑战。
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
什么是 SecOps 自动化?
网络安全是一个不断变化的领域:即使 SecOps 的存在也是该领域从沉重的孤岛团队中发展的结果。由于 SecOps 将 IT 和网络安全合并为一个更具凝聚力的团队,企业能够从更快、更高效的流程中受益。SecOps 自动化在此基础上进一步简化了 SecOps 范围内员工的工作流程。
为了阐明自动化如何带来切实的变化,让我们深入了解 SecOps 团队包含的五个关键角色。这些是:
- 事件响应者: 该角色负责监控安全工具、配置安全工具以及对工具识别的事件进行分类。
- 安全调查员: 在事件发生时,该角色识别受影响的设备和系统,执行威胁分析并部署缓解策略。
- 高级安全分析师: 就像未知威胁的安全调查员一样,该角色有时可以专注于发现新威胁。从管理角度来看,他们对供应商和第三方计划的健康状况有重大贡献,并可以帮助识别 SOC 工具和程序中的任何缺陷。
- SOC经理: 直接监督 SOC 的是经理:他们是安全团队和更广泛的业务领导之间的接口。他们熟悉每个角色,并能够引导团队提高效率和协作。
- 安全工程师/建筑师: 该角色专注于组织安全工具的实施、部署和维护。由于他们管理整体安全架构,因此他们定义团队可以处理哪些功能和可见性。
定义好角色后,就更容易看出自动化如何为 SecOps 领域带来如此巨大的收益。更专注的角色(如事件响应者)已经通过安全信息和事件管理 (SIEM) 等工具获得了巨大收益。SIEM 工具会自动收集和规范化每个网络连接设备生成的日志文件。
自动化分析的重要性
分析引擎具有独特的优势,可以处理这些数据,甚至更多。想想看,事件响应人员的大部分角色都集中在交叉引用从不同工具生成的警报和数据上。安全编排分析和响应 (SOAR) 等自动化工具代表了一种比较来自 SIEM、防火墙和端点保护解决方案等多个来源的数据并将所有这些数据整理到单个中央平台的方法。这提供了对威胁的统一视图,事件响应人员可以稍快地查看,而 AI 分析引擎可以更快地提取数据。通过这种方式,安全运营自动化本质上是可堆叠的——从数据收集和规范化到警报分析和响应——平均响应时间在几分钟而不是几个月的边缘徘徊。
例如,当具有自动化功能的 SIEM 工具注意到用户与高敏感度资源交互方式出现偏差时,剧本可以告诉 AI 评估其他信息流,例如最近的登录数据以及设备最近与哪些网页交互。所有这些都可用于验证威胁,并且当收集到的详细信息到达事件响应者的收件箱时,安全调查人员的手动响应速度会加快。
当今最先进的 SecOps 自动化仍然需要事件响应者选择采取哪些措施来应对某些威胁:这是通过剧本实现的。有了正确的剧本,就可以阻止可疑用户下载高风险材料或访问敏感网络。通过减少对人工干预的依赖,SOAR 等自动化工具不仅可以加快 SecOps 效率和响应时间,还可以让团队专注于战略计划和复杂威胁。
SecOps 自动化的用例
威胁检测和响应
威胁检测一直是 SOC 团队最耗时的组件之一:鉴于对全栈可视性的需求,网络安全领域十年来的进步见证了超精细监控平台(如 SIEM 工具)的兴起。然而,安全数据的数量和复杂性不断增加,给上游系统(如事件响应者)带来了更大的压力。
由于传统的手动安全事件监控和分析方法难以满足现代企业对速度和规模的要求,因此自动化是投资回报率最高的用例之一。通过与您现有的 SIEM 工具集成,它能够以比人类快得多的速度提取大量数据。
威胁检测自动化成功的关键在于其所基于的分析引擎。大多数 SOAR 提供商将采用监督学习和无监督学习的混合方式:监督学习通过对已知威胁的标记数据集明确地训练模型来运行。这让他们能够构建一个威胁模式数据库,然后将其应用于来自企业的真实数据。另一方面,无监督学习看到的模型本质上是经过训练以理解“正常”网络和端点活动的。每当发现偏离这一点时,它都可以对其进行分类——无监督模型能够随着时间的推移不断改进,因为它们的输出“威胁”被判断为正确或不正确。
Stellar Cyber 的多层次人工智能 将混合学习模型与 GraphML 相结合,将企业网络中发生的所有事件关联起来。这样可以发现所有攻击,即使是分布在多个不同系统中的复杂攻击。通过采用混合模型,企业可以启动并运行前者,而后者会随着时间的推移适应企业自己的网络轮廓。
事件响应
在传统的手动工作流程中,警报分类、数据收集和执行响应等任务通常需要大量时间和人力。由于 SOAR 工具涵盖了组织的所有安全工具,因此它能够实现事件响应自动化 - 这意味着对威胁的响应可以在威胁发生的终端进行。
例如,电子邮件传统上一直是威胁的重要来源。通常,当遇到网络钓鱼电子邮件时,SecOps 团队不会意识到任何不当行为,直到用户上当受骗并且设备尝试加载可疑 URL。更糟糕的是,中央 SIEM 工具甚至可能不会注册网络钓鱼网站 - 特别是如果它偷偷窃取输入的凭据。SOAR 工具能够在多个方面立即做出响应:在网络级别,它可以通过防火墙的 IP 信誉识别网络钓鱼网站是否可疑;在端点级别,它可以使用自然语言处理来标记网络钓鱼消息的语法警告标志。这两者都允许采取行动:首先阻止用户访问虚假登录网站,然后标记电子邮件并将其发送给 SecOps 团队进行分析。
SOAR 自动化不仅可以自动化 SecOps 的事件响应功能,还可以分散其即时功能,使 SecOps 甚至可以保护远程端点。
合规管理
SecOps 可以通过多种方式自动化合规管理:从基本的日志管理职责到更高级别的威胁管理方面。
通过集中和汇总日志、系统配置和事件详细信息,SOAR 平台可以实现全面的记录保存。这是基本要求,但仍然至关重要:GDPR 第 30 条和 ISO 27001 都明确要求日志记录、报告和文档保持最新。通过自动集中和存储这些数据,SOAR 可以显著减少 SecOps 团队的管理工作量。
现代合规框架中对问责制的推动并不止于清晰和集中的记录保存:他们还需要证明遵守基于角色的访问控制。由于 SOAR 实施了身份和访问管理 (IAM) 控制,因此可确保只有授权人员才能执行特定任务。然而,SOAR 比简单的凭证检查更进一步,在授予用户或设备访问权限之前会考虑所有数据流。位置、时间段、OTP 成功、请求的资源;它们都能够在授权中发挥作用,而不会影响合法的最终用户。
漏洞管理
自动补丁管理简化了繁琐的监控和手动应用补丁的过程。通过自动执行这些任务,组织可以更快、更有效地解决漏洞,确保关键系统的安全。
将 SOAR 平台与组织的配置管理系统集成可简化补丁管理的持续需求。漏洞管理自动化可以持续监控不同系统版本的状态,识别与已批准安全基线的任何偏差。当检测到缺失补丁时,SOAR 平台可以启动自动修复过程来应用补丁。然后,它会执行独立验证以确认补丁已成功实施。如果修补过程不成功,或者由于操作原因某些系统被排除在自动补丁管理之外,SOAR 平台会标记这些问题以供人工审查。这意味着不会忽略任何漏洞。
用户行为分析(UBA)
UBA 是 SOAR 功能的核心。这是因为 SOAR 平台从大量数据源(包括端点检测系统、访问日志和网络流量监视器)汇总数据。总的来说,每个数据点代表最终用户正在采取的行动或做出的决定。UBA 工具允许 SOAR 分析这些数据并为每个用户或实体建立行为基线。例如,用户的典型工作时间、设备使用情况或数据访问模式会随时间记录下来。当出现偏差时(例如在不寻常的时间访问敏感文件或设备启动异常网络连接),SOAR 平台会将这些标记为潜在威胁。
一旦检测到异常行为,SOAR 平台就会自动执行响应过程。例如,如果 UEBA 识别出可疑活动,平台可以启动预定义的工作流程,例如暂时限制访问、通知安全团队或对实体的近期活动展开调查。这些工作流程可确保迅速采取行动,同时最大限度地减少对合法运营的干扰。
Stellar Cyber 如何克服关键的 SecOps 自动化挑战
虽然 SecOps 自动化有望实现巨大的增长,但值得确定当今团队面临的最大障碍,并探索如何克服 SecOps 自动化挑战。
数据过载
每个新的自动化项目面临的第一个问题是从哪里开始。SIEM 数据过载所涉及的数据量可能会使情况变得复杂,难以判断。
哪个自动化项目能产生最高的回报。
为了解决这个问题, Stellar Cyber 的 AI 引擎 收集所有这些无尽的安全数据并将其转换为两种主要数据类型:警报和事件案例。警报代表可疑或高风险行为的具体实例,是事件案例的基础元素。为了确保正确评估所有这些核心数据,Stellar Cyber 将它们映射到 XDR Kill Chain。每个警报都包含清晰、人性化的活动描述和建议的补救步骤。
如果到此为止,分析师仍会陷入需要分类的大量数据的泥潭。Stellar 的引擎还通过交叉引用警报来解决这个问题。GraphML 允许通过自动比较和分组警报和事件,将它们归类为一组较小的精确可操作事件,从而将它们归类为事件。此功能使安全分析师能够更好地了解攻击路径、其严重程度以及最令人担忧的领域。这是小规模自动化(分析和映射警报)如何进一步提高效率(例如重复数据删除)的另一个例子。
一旦所有警报都被拉入中央分析引擎,SecOps 就可以从一系列管理自动化中受益:例如,重复数据删除可以识别和消除冗余警报和事件——这种系统的过滤过程可以显著降低噪音。
因此,为了应对数据过载的挑战,最好从 SecOps 链的底部开始:查看分析师工作流程中哪些部分耗时最长,并采取相应措施。对于大多数刚接触 SecOps 自动化的组织来说,这是警报分类和分析流程——因此重点是自动化集中数据分析。
集成复杂性
集成不同的安全工具可能很复杂,但开放 API 和 SIEM 提取多个日志源的能力提供了解决方案。
鉴于 SecOps 自动化依赖于互联互通,将其与堆栈中所有其他安全工具集成的挑战可能成为进入的重大障碍。解决这个问题需要两个步骤:资产发现和自动集成。
- 资产发现: Stellar Cyber 通过从各种来源(包括端点检测和响应工具、目录服务、云审计日志、防火墙和服务器传感器)被动收集数据来自动化资产发现。这种实时聚合可识别 IP 和 MAC 地址等资产,以将其与各自的主机关联。随着新数据进入网络,系统会不断更新此信息;通过自动化此过程,Stellar Cyber 可确保整个网络的全面可见性,无需人工干预。
- 自动化集成: Stellar Cyber 通过预配置的 API 解决了集成问题:这些连接器是根据每个应用程序自己的访问方法开发的;一旦到位,它们就会根据预设的时间表主动获取数据。除了从外部系统收集数据外,连接器还可以执行响应操作,例如阻止防火墙上的流量或禁用用户帐户。这些连接器基本上可以处理任何形式的数据——无论是原始日志数据(如 SIEM),还是来自其他安全工具的直接安全警报。所有这些都被拉入安全数据湖以进行进一步的自动分析。
总的来说,这两个步骤大大降低了新工具对 SecOps 团队的要求。
误报
无监督学习可以让算法识别新的攻击,但它们也会标记数据集中任何以前未知的模式。这很容易导致误报,并最终导致警报疲劳。这是因为无监督学习系统会学习什么是“正常”行为,并将任何偏离此基线的行为标记为潜在异常。入侵检测系统 (IDS) 可能会识别正常的网络流量模式,并在设备试图访问与正常情况不同的端口时发出警报,但这也可能是 IT 团队成员在设置新应用程序。
因此,基于无监督学习的系统通常会产生大量误报,并且在生成警报后,它可能缺乏安全分析师评估实际情况所需的背景信息。在 Stellar,通过使用无监督机器学习作为基础步骤来解决这一挑战:除了任何异常行为之外,它还会监控组织数据湖的整个范围,以将其与任何其他数据点关联起来。这为每个事件提供了一个风险因素,进而指导工具如何响应。
例如,假设一位高管在凌晨 2 点登录网络。单独来看,这可能看起来像是误报,不需要发出警报。但是,如果登录来自俄罗斯或中国的 IP 地址,并且包括执行未经授权的 PowerShell 命令,这些额外的数据点就会形成一种模式,表明账户被接管。通过连接这些点,系统提供了生成有意义警报所需的上下文。而且,由于我们刚才提到的灵活连接器,这个账户可以自动被隔离。
技能差距
实施 SecOps 自动化需要采用与组织的安全目标和成熟度水平紧密结合的定制方法,以确保无缝部署。如果没有这些能力,该过程可能会面临延迟甚至失败的风险。
例如,集成安全工具或开发剧本通常需要具备 Python、Ruby 或 Perl 等脚本语言的实际专业知识,具体取决于 SOAR 解决方案。如果 SOC 团队缺乏这些编码技能,则可能会妨碍他们执行所需的集成和创建有效的自动化工作流程,最终影响平台的整体效率。
下一代 SecOps 自动化工具有助于通过 NLP 提示缩小这一差距,但在缩小技能差距方面,一些最好的改进是在可访问的界面上。SOAR 和 SIEM 集成(如 Stellar Cyber)使 SecOps 能够以可访问且可操作的格式查看所有关键信息,而不是将不同的工具混杂在一起。这包括推荐的补救选项,以及构成每个事件的数据点的可视化。
成本和可扩展性
虽然自动化通过简化重复任务降低了运营成本,但值得注意的是,这可能会产生巨大的成本:市场上的许多安全工具都有各自的专业化,这使得从每个工具以及周围的网络和端点获取数据的工具变得非常令人头疼。然后,当应用程序、用户和网络发生变化时,它只需要更多的时间和资源来维护。
这就是为什么依赖 SaaS 工具比从头开始构建更具成本效益的原因。然而,即使这样也并非易事:由于自动化依赖于如此大量的数据消耗,因此根据数据量扩展的定价模型可能会非常不稳定。这增加了蓬勃发展的自动化项目面临的风险。这就是 Stellar Cyber 将其 SecOps 自动化工具打包在单一、可预测的许可证下的原因。
利用 Stellar Cyber 实现自动化驱动的 SecOps
Stellar Cyber 重新定义了组织如何实现自动化驱动的 SecOps。它将下一代 SIEM、NDR 和 Open XDR 功能整合到一个无缝、强大的解决方案中,该解决方案可自动执行数据关联、规范化和分析来自所有来源的信息,并消除噪音以提供可操作的见解。借助预构建的事件响应手册,团队可以迅速一致地对威胁做出反应,而多层 AI 可在端点、网络和云中提供无与伦比的可视性,不会留下任何盲点。
通过减少检测和响应时间并简化工作流程,Stellar Cyber 使精益安全团队能够高效且经济地保护广阔的环境。寻求更快、更智能的安全运营的企业可以探索 带有演示的 Stellar Cyber SecOps 平台。
