如今,許多安全運營中心(soc)都在面臨著同樣的困境——警報太多,而處理它們的人員卻又太少。隨著時間的推移,這種問題將會變得更加嚴重,因為生成警報的裝置數量的增長速度,要遠遠快於可用於分析它們的人員數量的增長速度。如此一來,真正重要的警報可能就會淹沒其中,得不到響應。
大多數企業認為應對這個問題只有兩種解決方案:即減少警報數量,或是增加人員數量。幸運的是,還有第三種選擇:自動化。它可以極大地提高分析師的時間效率,用更少地時間完成更多的工作量。
傳統意義上,人們習慣將自動化視為「不全則無」(all-or-nothing)的主張。但是,如今時代已經發生了變化。企業可以在事件響應過程中的各個位置實施自動化,幫助分析人員從繁複的任務中解脫出來,同時保持他們對警報監視和響應的人為控制。其最終目標應該是,在自動化可以處理的低風險和人為應對的高風險之間取得平衡。
但是,在部署某種程度的soc自動化之前,應該認真考慮以下幾點問題:1)組織是贏了還是輸了網路戰爭?2)如果是贏了,它是否具備正確的工具來持續這種狀態?3)如果是輸了,它應該怎麼做?
不過,無論組織是贏了還是輸了網路戰爭,理解自動化的優缺點對於任何專案的成功與否都是至關重要的。
自動化的優點
自動化在低影響(low-impact )環境中通常備受青睞,但是由於誤報可能導致的負面影響,其在諸如公用事業和醫療保健等高影響(high-impact)環境中一直備受質疑。
soc自動化的主要優點包括:
自動化的缺點
沒有什麼比處理假陽性(即誤報)更令人煩惱的了,所謂假陽性就是系統將合法活動標識為惡意攻擊行為。在某些行業中,誤報會破壞業務流程,造成收入損失、工業組織停工等後果,在醫院環境中,這種誤報甚至會危及生命。
soc自動化的主要缺點包括:
自動化的最佳實踐
過去,公司通常會因為考慮到自動化的潛在缺點,而最終選擇放棄它,因為他們認為這樣做更安全。然而,如今,越來越多的企業已經意識到,如果他們沒有實現某種程度的自動化,會增加其錯失標記攻擊行為的機會,這種情況所造成的損失,可能會比實施自動化所帶來的潛在負面影響更為沉重。
鑑於這種情況,安全從業人員應該考慮採用以下自動化最佳實踐措施:
1. 建立乙個全面的戰略
該計畫應該旨在解決以下關鍵問題:
2. 採取一種經過實測的方法
安全的關鍵規則之一就是始終避免極端事件。例如,「自動化一切」可能會招致一堆蠕蟲,然後迫使安全管理人員通過指責分析師來證明這一做法是正確的,他們會聲稱是由於分析師來不及分析ticket才導致的問題。
通過自動化人力密集型、高度重複型任務來實現平衡,將分析師從繁複的任務中解放出來,有精力實現更為重要的職能,這是乙個非常好的起點。自動化應該允許公司提高soc效率,同時保持可接受的風險水平——無論是在運營方面還是安全方面。
訣竅在於管理和控制誤報,而不是妄圖消除誤報。
3. 了解不需要自動化而需要人工分析的任務
其主要包括影響如下系統的警報:
結論 由於網路攻擊對手也在利用軟體和硬體來開發和實施攻擊,威脅的演變速度和複雜性正在急劇上公升,對於soc自動化的需求也在隨之增長。想要跟上程式化攻擊的步伐,不可避免地需要自動化某些soc功能和流程。遵循上述列出的建議,可以幫助確定應該自動化和不應該自動化的內容,以便發揮自動化的最大功效。
原文發布時間為:2018-05-30
資料中心綠色運營還得靠自動化實現
電源是資料中心的生命線,同時,電費也是資料中心運營商的主要支出之一。目前,全球資料中心每年的用電量估計為200太瓦時 twh 而且還在不斷增加。因此,idc行業也在尋求通過可再生能源和監測電力消耗有效滿足電力需求的方法,這並不奇怪。自動化 資料中心運營的支柱 為了提高整體運營效果,滿足業務需求,資料...
如何做到自動化運營 資料驅動
這篇文章,只是以資料分析的視角進行乙個自動化運維的解析,不提供 和具體技術,就當作培養資料思維了。我們都知道很多社交網路上可以刷粉,也可以刷閱讀量,這已經形成了乙個 產業鏈 那麼如何通過技術來實現了?首先我梳理了一下整個流程,可以分成 3 個步驟。1.多個手機號 現在賬號註冊都是需要繫結手機號的,所...
資料中心電氣及自動化(一)
綠色 環保 節能,這些當初與it似乎佔不上邊的話題,現在卻成為大家需要積極去面對的問題。由此而產生的新名詞,諸如綠色儲存及綠色資料中心佔據電腦螢幕中的大部分也就順理成章的事了。只是,現在雖然有太多的綠色資料中心及儲存布置的最佳實踐之類的文章,但大多如蜻蜓點水,卻起不到畫龍點睛作用。除了說明做好 綠色...