SecOps 自动化:用例以及如何克服关键挑战
了解什么是 SecOps 自动化、SecOps 自动化的各种用例以及 Stellar Cyber 如何帮助组织克服关键的 SecOps 自动化挑战。
安全运营 (SecOps) 已达到临界点:用于保障组织安全的工具数量众多、相互重叠且高度精细——分析师们不得不全力以赴地识别和交叉比对各自发现的问题。然而,攻击者却不断从这些漏洞中钻空子。
安全运营自动化有望彻底改变安全运营部门与当今海量安全数据交互的方式,从而增强威胁检测和合规性。本指南将探讨各种可用的自动化形式,从下一代自动化到…… SIEM 从自动化到全自动响应剧本,我们将探讨自动化流程。在此过程中,我们还将介绍新自动化项目面临的主要挑战。
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
什么是 SecOps 自动化?
网络安全是一个不断变化的领域:即使 SecOps 的存在也是该领域从沉重的孤岛团队中发展的结果。由于 SecOps 将 IT 和网络安全合并为一个更具凝聚力的团队,企业能够从更快、更高效的流程中受益。SecOps 自动化在此基础上进一步简化了 SecOps 范围内员工的工作流程。
为了阐明自动化如何带来切实的变化,让我们深入了解 SecOps 团队包含的五个关键角色。这些是:
- 事件响应者: 该角色负责监控安全工具、配置安全工具以及对工具识别的事件进行分类。
- 安全调查员: 在事件发生时,该角色识别受影响的设备和系统,执行威胁分析并部署缓解策略。
- 高级安全分析师: 就像负责调查未知威胁的安全调查员一样,这个职位有时也专注于发现新型威胁。从管理角度来看,他们对供应商和第三方项目的健康状况有着重要的发言权,并且可以帮助识别项目中的任何缺陷。 SOC的工具和流程。
- SOC 经理: 直接监督 SOC 经理是安全团队与更广泛的业务领导层之间的桥梁。他们熟悉每个成员的具体职责,能够引导团队提高效率并加强协作。
- 安全工程师/建筑师: 该角色专注于组织安全工具的实施、部署和维护。由于他们管理整体安全架构,因此他们定义团队可以处理哪些功能和可见性。
角色定义明确后,就更容易理解自动化如何为安全运营领域带来如此巨大的收益。像事件响应员这样更专注的角色已经从安全信息和事件管理等工具中受益匪浅。SIEM). SIEM 工具会自动收集并规范化每个联网设备生成的日志文件。
自动化分析的重要性
分析引擎在处理这些数据方面具有得天独厚的优势,甚至能够处理更多。想想看,事件响应人员的大部分工作都集中在交叉引用来自不同工具的警报和数据上。安全编排分析与响应 (SOAR) 等自动化工具提供了一种比较来自多个来源的数据的方法,例如: SIEM防火墙和终端保护解决方案,并将所有这些数据汇总到一个中央平台。这提供了一个统一的威胁视图,事件响应人员查看速度略有提升,而人工智能分析引擎的提取速度则大幅提升。通过这种方式,安全运营自动化基本上可以堆叠——从数据收集和规范化,到警报分析和响应——平均响应时间几乎缩短到几分钟,而不是几个月。
例如,当一个具备自动化能力的 SIEM 如果工具检测到用户与高敏感资源交互方式出现异常,预先设定的剧本可以指示人工智能评估其他信息流,例如最近的登录数据以及设备最近访问过的网页。所有这些信息都可用于验证威胁,当收集到的详细信息到达事件响应人员的收件箱时,安全调查人员的手动响应速度将得到加快。
当今最先进的 SecOps 自动化仍然需要事件响应者选择采取哪些措施来应对某些威胁:这是通过剧本实现的。有了正确的剧本,就可以阻止可疑用户下载高风险材料或访问敏感网络。通过减少对人工干预的依赖,SOAR 等自动化工具不仅可以加快 SecOps 效率和响应时间,还可以让团队专注于战略计划和复杂威胁。
SecOps 自动化的用例
威胁检测和响应
威胁检测一直是网络安全中最耗时的环节之一。 SOC 团队:鉴于对全栈可见性的需求,过去十年网络安全领域的发展见证了超细粒度监控平台的兴起,例如 SIEM 工具。然而,安全数据的数量和复杂性不断增加,给上游系统(例如事件响应系统)带来了更大的压力。
由于传统的、人工监控和分析安全事件的方法难以跟上现代企业所需的速度和规模,因此,应用自动化是投资回报率最高的用例之一。通过与……集成 SIEM 你所使用的工具能够比人类更快地摄取更多数据。
威胁检测自动化成功的关键在于其所基于的分析引擎。大多数 SOAR 提供商将采用监督学习和无监督学习的混合方式:监督学习通过对已知威胁的标记数据集明确地训练模型来运行。这让他们能够构建一个威胁模式数据库,然后将其应用于来自企业的真实数据。另一方面,无监督学习看到的模型本质上是经过训练以理解“正常”网络和端点活动的。每当发现偏离这一点时,它都可以对其进行分类——无监督模型能够随着时间的推移不断改进,因为它们的输出“威胁”被判断为正确或不正确。
Stellar Cyber 的多层次人工智能 将混合学习模型与 GraphML 相结合,将企业网络中发生的所有事件关联起来。这样可以发现所有攻击,即使是分布在多个不同系统中的复杂攻击。通过采用混合模型,企业可以启动并运行前者,而后者会随着时间的推移适应企业自己的网络轮廓。
事件响应
在传统的手动工作流程中,警报分类、数据收集和执行响应等任务通常需要大量时间和人力。由于 SOAR 工具涵盖了组织的所有安全工具,因此它能够实现事件响应自动化 - 这意味着对威胁的响应可以在威胁发生的终端进行。
例如,电子邮件历来都是重要的威胁来源。通常情况下,当遇到钓鱼邮件时,安全运营团队只有在用户上当受骗且设备尝试加载可疑网址后才会意识到存在问题。更糟糕的是,中央安全系统可能存在漏洞。 SIEM 工具甚至可能无法识别钓鱼网站——尤其是在该网站暗中窃取用户输入凭证的情况下。安全运营自动化响应 (SOAR) 工具能够从多个层面立即做出响应:在网络层面,它可以通过防火墙的 IP 信誉识别出可疑的钓鱼网站;在终端层面,它可以利用自然语言处理技术标记钓鱼邮件中的语法警告信号。这两种方法都允许采取相应措施:首先阻止用户访问虚假登录网站,然后标记该电子邮件并将其发送给安全运营团队进行分析。
SOAR 自动化不仅可以自动化 SecOps 的事件响应功能,还可以分散其即时功能,使 SecOps 甚至可以保护远程端点。
合规管理
SecOps 可以通过多种方式自动化合规管理:从基本的日志管理职责到更高级别的威胁管理方面。
通过集中和汇总日志、系统配置和事件详细信息,SOAR 平台可以实现全面的记录保存。这是基本要求,但仍然至关重要:GDPR 第 30 条和 ISO 27001 都明确要求日志记录、报告和文档保持最新。通过自动集中和存储这些数据,SOAR 可以显著减少 SecOps 团队的管理工作量。
现代合规框架中对问责制的推动并不止于清晰和集中的记录保存:他们还需要证明遵守基于角色的访问控制。由于 SOAR 实施了身份和访问管理 (IAM) 控制,因此可确保只有授权人员才能执行特定任务。然而,SOAR 比简单的凭证检查更进一步,在授予用户或设备访问权限之前会考虑所有数据流。位置、时间段、OTP 成功、请求的资源;它们都能够在授权中发挥作用,而不会影响合法的最终用户。
漏洞管理
自动补丁管理简化了繁琐的监控和手动应用补丁的过程。通过自动执行这些任务,组织可以更快、更有效地解决漏洞,确保关键系统的安全。
将 SOAR 平台与组织的配置管理系统集成可简化补丁管理的持续需求。漏洞管理自动化可以持续监控不同系统版本的状态,识别与已批准安全基线的任何偏差。当检测到缺失补丁时,SOAR 平台可以启动自动修复过程来应用补丁。然后,它会执行独立验证以确认补丁已成功实施。如果修补过程不成功,或者由于操作原因某些系统被排除在自动补丁管理之外,SOAR 平台会标记这些问题以供人工审查。这意味着不会忽略任何漏洞。
用户行为分析(UBA)
UBA 是 SOAR 功能的核心。这是因为 SOAR 平台从大量数据源(包括端点检测系统、访问日志和网络流量监视器)汇总数据。总的来说,每个数据点代表最终用户正在采取的行动或做出的决定。UBA 工具允许 SOAR 分析这些数据并为每个用户或实体建立行为基线。例如,用户的典型工作时间、设备使用情况或数据访问模式会随时间记录下来。当出现偏差时(例如在不寻常的时间访问敏感文件或设备启动异常网络连接),SOAR 平台会将这些标记为潜在威胁。
一旦检测到异常行为,SOAR平台会自动执行响应流程。例如,如果 UEBA 平台一旦识别出可疑活动,即可启动预定义的工作流程,例如暂时限制访问、通知安全团队或对该实体的近期活动展开调查。这些工作流程可确保迅速采取行动,同时最大限度地减少对合法运营的干扰。
Stellar Cyber 如何克服关键的 SecOps 自动化挑战
虽然 SecOps 自动化有望实现巨大的增长,但值得确定当今团队面临的最大障碍,并探索如何克服 SecOps 自动化挑战。
数据过载
每个新的自动化项目面临的首要问题都是从哪里入手。而这方面的一大难点在于数据量之大。 SIEM 数据过载会混淆视听,使判断更加困难。
哪个自动化项目能产生最高的回报。
为了解决这个问题, Stellar Cyber 的 AI 引擎 它接收所有这些海量的安全数据,并将其转化为两种主要数据类型:警报和事件案例。警报代表可疑或高风险行为的具体实例,是事件案例的基础要素。为了确保所有这些核心数据都能得到正确评估,Stellar Cyber 会将它们映射到…… XDR 攻击链。每条警报都包含对攻击活动的清晰易懂的描述以及建议的补救措施。
如果到此为止,分析师仍会陷入需要分类的大量数据的泥潭。Stellar 的引擎还通过交叉引用警报来解决这个问题。GraphML 允许通过自动比较和分组警报和事件,将它们归类为一组较小的精确可操作事件,从而将它们归类为事件。此功能使安全分析师能够更好地了解攻击路径、其严重程度以及最令人担忧的领域。这是小规模自动化(分析和映射警报)如何进一步提高效率(例如重复数据删除)的另一个例子。
一旦所有警报都被拉入中央分析引擎,SecOps 就可以从一系列管理自动化中受益:例如,重复数据删除可以识别和消除冗余警报和事件——这种系统的过滤过程可以显著降低噪音。
因此,为了应对数据过载的挑战,最好从 SecOps 链的底部开始:查看分析师工作流程中哪些部分耗时最长,并采取相应措施。对于大多数刚接触 SecOps 自动化的组织来说,这是警报分类和分析流程——因此重点是自动化集中数据分析。
集成复杂性
集成不同的安全工具可能很复杂,但开放的API和 SIEM能够摄取多个日志源提供了一种解决方案。
鉴于 SecOps 自动化依赖于互联互通,将其与堆栈中所有其他安全工具集成的挑战可能成为进入的重大障碍。解决这个问题需要两个步骤:资产发现和自动集成。
- 资产发现: Stellar Cyber 通过从各种来源(包括端点检测和响应工具、目录服务、云审计日志、防火墙和服务器传感器)被动收集数据来自动化资产发现。这种实时聚合可识别 IP 和 MAC 地址等资产,以将其与各自的主机关联。随着新数据进入网络,系统会不断更新此信息;通过自动化此过程,Stellar Cyber 可确保整个网络的全面可见性,无需人工干预。
- 自动化集成: Stellar Cyber 通过预配置的 API 解决了集成问题:这些连接器基于每个应用程序自身的访问方式开发;部署完成后,它们会根据预设的计划主动获取数据。除了从外部系统收集数据外,连接器还可以执行响应操作,例如阻止防火墙上的流量或禁用用户帐户。这些连接器几乎可以处理任何形式的数据——无论是原始日志数据,还是其他类型的数据。 SIEM或者来自其他安全工具的直接安全警报。所有这些信息都会被导入安全的数据湖,以便进行进一步的自动化分析。
总的来说,这两个步骤大大降低了新工具对 SecOps 团队的要求。
误报
无监督学习可以让算法识别新的攻击,但它们也会标记数据集中任何以前未知的模式。这很容易导致误报,并最终导致警报疲劳。这是因为无监督学习系统会学习什么是“正常”行为,并将任何偏离此基线的行为标记为潜在异常。入侵检测系统 (IDS) 可能会识别正常的网络流量模式,并在设备试图访问与正常情况不同的端口时发出警报,但这也可能是 IT 团队成员在设置新应用程序。
因此,基于无监督学习的系统通常会产生大量误报,并且在生成警报后,它可能缺乏安全分析师评估实际情况所需的背景信息。在 Stellar,通过使用无监督机器学习作为基础步骤来解决这一挑战:除了任何异常行为之外,它还会监控组织数据湖的整个范围,以将其与任何其他数据点关联起来。这为每个事件提供了一个风险因素,进而指导工具如何响应。
例如,假设一位高管在凌晨 2 点登录网络。单独来看,这可能看起来像是误报,不需要发出警报。但是,如果登录来自俄罗斯或中国的 IP 地址,并且包括执行未经授权的 PowerShell 命令,这些额外的数据点就会形成一种模式,表明账户被接管。通过连接这些点,系统提供了生成有意义警报所需的上下文。而且,由于我们刚才提到的灵活连接器,这个账户可以自动被隔离。
技能差距
实施 SecOps 自动化需要采用与组织的安全目标和成熟度水平紧密结合的定制方法,以确保无缝部署。如果没有这些能力,该过程可能会面临延迟甚至失败的风险。
例如,集成安全工具或开发剧本通常需要具备 Python、Ruby 或 Perl 等脚本语言的实际操作经验,具体取决于 SOAR 解决方案。如果 SOC 如果团队缺乏这些编码技能,可能会阻碍他们执行所需的集成和创建有效的自动化工作流程,最终影响平台的整体有效性。
下一代安全运营自动化工具通过自然语言处理提示来缩小技能差距,但技能差距缩小方面最显著的改进在于易用性界面。SOAR 和 SIEM Stellar Cyber 等集成方案使安全运营团队能够以易于访问和操作的方式查看所有关键信息。这包括推荐的补救方案,以及构成每个事件的数据点的可视化呈现。
成本和可扩展性
虽然自动化通过简化重复任务降低了运营成本,但值得注意的是,这可能会产生巨大的成本:市场上的许多安全工具都有各自的专业化,这使得从每个工具以及周围的网络和端点获取数据的工具变得非常令人头疼。然后,当应用程序、用户和网络发生变化时,它只需要更多的时间和资源来维护。
这就是为什么依赖 SaaS 工具比从头开始构建更具成本效益的原因。然而,即使这样也并非易事:由于自动化依赖于如此大量的数据消耗,因此根据数据量扩展的定价模型可能会非常不稳定。这增加了蓬勃发展的自动化项目面临的风险。这就是 Stellar Cyber 将其 SecOps 自动化工具打包在单一、可预测的许可证下的原因。
利用 Stellar Cyber 实现自动化驱动的 SecOps
Stellar Cyber重新定义了组织如何应对自动化驱动的安全运营。它结合了下一代技术。 SIEM,NDR,以及 Open XDR 它将各种功能整合到一个无缝且强大的解决方案中,该方案可自动进行数据关联,规范化并分析来自所有来源的信息,并去除噪声,从而提供可执行的洞察。借助预置的事件响应手册,团队可以快速、一致地应对威胁,而多层 AI 则提供跨端点、网络和云的无与伦比的可见性,确保无盲点。
通过减少检测和响应时间并简化工作流程,Stellar Cyber 使精益安全团队能够高效且经济地保护广阔的环境。寻求更快、更智能的安全运营的企业可以探索 带有演示的 Stellar Cyber SecOps 平台。
