如何部署 SecOps 自動化?
若要有效部署 SecOps 自動化,應遵循下列步驟,以確保將安全協調、自動化與回應 (SOAR) 順利且成功地整合至現有作業中:
- 評估您目前的安全勢態
- 定義目標及需求
- 選擇正確的 SOAR 平台
- 整合計劃
- 建立與測試播放簿
- 訓練您的 SecOps 團隊
- 逐步部署並監控
- 可測量的最佳化
- 建立持續維護與更新
為 SecOps 自動化做準備
在準備 SecOps 自動化時,必須考慮以下步驟,這些步驟可協助您和組織最佳化自動化過渡:
步驟 1:瞭解現行政策與流程
評估您目前的政策和流程對於找出可透過自動化簡化的領域至關重要。這包括瞭解目前處理事件的方式,以及流程中涉及的手動步驟。
步驟 2:識別日常工具和平台
評估您的團隊每天使用的工具和平台。了解現有的技術架構和資料來源,是找出潛在整合點和自動化能產生最大影響的領域的關鍵。
步驟 3:確定事件解決的關鍵利害關係人
釐清誰需要參與解決安全事件。這可能包括安全性團隊和組織內其他相關利害關係人。
步驟 4:標準化並使流程具有可重複性
考慮將您的流程標準化,以確保其可重複性和一致性。這包括找出自動化可為安全作業帶來一致性與可靠性的領域。
步驟 5:建立事件指派的政策與程序
如何將流程標準化,使其具有可重複性和一致性?
您有哪些有關事故指派的政策與程序?
您如何在內部溝通事件?
評估內部溝通事件的方式
評估事件如何在內部溝通至關重要。溝通流程自動化有助於簡化資訊傳播並改善回應時間。
分析工作流程
- 評估是否需要專家來詮釋或分流資料,以及自動化如何支援或強化這些工作。
- 找出工作流程中可重覆和標準化的任務,因為這些任務是自動化的主要候選項目。
- 確定特定工作流程自動化是否會大幅加快事件回應的速度,以及這與組織目標的一致性。
- 考慮測試自動化工作流程是否需要人為介入,以及實作階段所需的參與程度。
TIP:明確定義範圍以利於資源分配、決定必要的技能組合,並確保團隊接受足夠的自動化計畫訓練是非常重要的。
從簡單的高影響力任務開始
要開始自動化之旅,組織應將重點放在能提供重大價值且可直接自動化的任務上。最好從重複性工作開始,例如收集資訊、產生沙盤報告、向使用者傳送通訊、在各種工具間執行查詢,以及與其他團隊協調。為每項任務指派一位負責人,可確保問責性和穩定的進度。
組織應考慮:
- 在較大的工作流程中,是否有耗費大量時間的任務?
- 是否有一些任務如果被忽視,可能會擾亂作業?
在嘗試從頭到尾自動化整個工作流程之前,必須先優先自動化這些較小、影響較大的工作。
對於沒有編碼專業知識的人,建議從預先建立的播放簿和整合開始。 Cortex XSOAR 之類的解決方案可提供多種現成的 playbook,涵蓋日常使用個案。其視覺化編輯器可讓您輕鬆自訂這些播放簿,而無需編碼。實體豐富化、指示器封鎖和狩獵玩法等建置區塊可在多種情境中重複使用,快速為安全作業帶來價值。
輕鬆實現網路安全自動化
採用循序漸進的方式 - 爬行-步行-跑步法,逐步建立對網路安全自動化的信心。先從基本任務做起,當您熟悉平台後,再逐步將更複雜的流程自動化。
實作安全協調、自動化與回應 (SOAR) 解決方案時,選擇正確的工具至關重要。從概念驗證 (PoC) 開始,在受控環境中驗證自動化的效益。使用 PoC 測試特定任務,例如警報分流或威脅偵測,並為更廣泛的部署收集洞察力。
開發和測試自動化播放簿,以定義針對不同安全性事件的動作。從自動化重複性工作開始,例如資料豐富化或警報相關性,並將這些播放簿與您現有的安全工具整合。
隨著團隊信心的提升,逐步擴大自動化以涵蓋更複雜的工作流程,朝端對端的安全性作業自動化邁進。這種可測量的方法有助於最佳化流程,並充分發揮網路安全自動化的效益。
各種規模組織的自動化優勢
自動化為各種規模的組織(從小型企業到大型企業)提供了顯著的優勢。雖然成熟的安全程序可以強化自動化工作,但對於入門者來說,它們是可選的。尤其是規模較小的組織,可透過自動化例行性工作來釋放資源,以應付更複雜的挑戰。
組織應從利用開箱即用的 playbook 和整合開始,以自動化直接、重複性的工作。當團隊建立經驗和信心後,就可以逐漸進階到完整工作流程自動化和更複雜的使用個案。不論組織的規模或成熟度如何,這種分階段的方法都能確保自動化在每個階段都能提供最大價值。
一致的自動化工作流程的優點
自動化工作流程可確保每次都遵循相同的流程,以達到一致的輸出。這種統一性可將回應標準化,並透過直接將最佳實作嵌入遊戲手冊,加速新安全作業中心 (SOC) 分析師的入職。
一致的工作流程也簡化了更換點產品的程序,減少操作停機時間。無論自動化是否到位,記錄完整且標準化的安全性流程對於提升團隊效率及有效管理事故是不可或缺的。
同儕審核與核准
同儕評審是確保使用個案有效性的關鍵步驟。透過讓組織內的同事和其他團隊參與,您可以找出問題和遺漏的步驟,進而改善自動化。
經理核准與生產部署
在將自動化工作流程部署到生產之前,應先經過管理人員的核准。考慮從開發到生產的工作流程,並根據需要追蹤時間敏感的任務。確定是否應追蹤服務層級協議 (SLA),以進行後續追蹤或補救行動。
經理核准與生產準備
在生產環境中部署自動化工作流程之前,應先經過管理人員的審核和批准。實作包括追蹤時效性任務的開發到生產工作流程,並考慮是否需要監控服務層級協議 (SLA),以便採取後續行動或補救措施。
定義事件結束標準
明確建立事件何時被視為結束的標準,並確保將此納入自動化工作簿中。如果事件是在外部系統上結束,則將此作為最終步驟。找出工作流程中分析師可能需要介入並做出決策的點位,並將這些決策點建立在自動化流程中。
爭取自動化領導者
儘管從小處著手可以快速獲勝,證明初期投資的合理性,但在您的 SOC 中實現有意義的數位轉型需要利害關係人的大力支持。成功轉型 SOC 的 XSOAR 使用者會將資源專用於賦予其團隊能力、推動自動化計畫,以及識別自動化可作為策略性業務推動力的關鍵領域。在您的 組織中獲得支持者有助於建立動力、確保必要的認同,並維持自動化旅程的長期進展。
投資 SecOps 自動化訓練
投資於網路安全自動化訓練,對於在當今快速演進的數位環境中遨遊的組織來說是必要的。由於傳統、手動的網路安全方式越來越不夠用,安全專業人員必須具備充分運用自動化效益的技能與知識。
自動化提供了顯著的優勢,包括
- 更快速的威脅偵測與回應
- 增強精確度
- 減少人為錯誤
- 減少網路安全團隊的整體工作量
鑑於網路安全的技能缺口日益擴大,這一點尤其重要。在合格專業人員短缺的情況下,自動化有助於紓緩資源緊張的問題,讓現有員工可以更有效率、更有成效地處理更廣泛的任務,從而避免倦怠,並將生產力發揮到極致。
什麼是自動化?
"這是很難回答的事情。我的意思是,很明顯它會自動照顧某些東西,但 [它不會] 住在任何一個地方。這也是很難回答的原因。因此,許多人認為警報管道或 IR [事件回應] 流程是非常線性的階段步驟,對吧?自動化在其中扮演了一個角色,在多個地方...此外,我們也將 SOC 本身及其周圍的流程自動化,因此某些程序可在幕後處理,無需由 SOC 分析師處理。這可以是治理或審計相關的通知和警示,您知道,程式或平台的健康狀況。對我們來說,自動化一般是為了加快解決時間,並增加我們得出結論的清晰度和信心。
- Kyle Kennedy,Palo Alto Networks 資深員工安全性工程師
定義自動化使用個案
清晰且明確的使用個案對於有效的自動化是不可或缺的。此流程首先要識別重覆性工作、瞭解關鍵業務流程,並找出自動化能提供最大價值的特定痛點。
讓利害關係人參與及分析資料
讓各個部門的主要利害關係人參與,例如安全性、作業和合規性團隊,針對現有流程提供意見,並找出適合自動化的領域。根據使用個案的潛在影響和整合難度,分析資料以排定使用個案的優先順序。
考慮安全性與合規性需求
評估每個使用個案對安全性和合規性的影響。選擇符合組織監管需求和安全標準的自動化工具,確保解決方案符合作業和合規性需求。
設計和測試原型
開發和測試原型,以驗證每個使用個案的可行性。透過評估潛在的時間節省、成本降低和效率提升,計算投資報酬率 (ROI)。利用這些洞察力來建立全面實作的大規模路線圖。
記錄使用案例並持續不斷地最佳化
為每個使用個案保存完整的文件,概述目標、流程和預期結果。不斷地監控自動化工作流程的效能,並視需要作出調整,以最佳化效能並維持與組織目標一致。
定義自動化用例是要從策略上確定自動化在哪些方面可以提高效率和效能,同時確保符合組織目標和合規性需求。這種結構化的方法有助於確保自動化方案產生實際效益,並有助於整體營運的卓越性。
使用清晰的用例定義防止範圍擴大
為了避免範圍擴大(這是自動化專案中常有的挑戰),為每個用例建立清楚精確的定義是非常重要的。這包括從一開始就設定特定的目標和邊界,例如針對網路釣魚電子郵件等目標性威脅自動執行事件回應。定義良好的使用個案範圍可讓自動化工作專注、易於管理且有效率,避免不必要的複雜性和功能新增。
此外,明確的範圍可讓風險評估和管理更加完善。透過瞭解每個使用個案的邊界,可以及早發現潛在風險,並據此規劃緩解策略。
此方法有助於防止意外引進安全漏洞或合規性問題,確保自動化能強化而非破壞組織的安全勢態。
使用範例:網路釣魚與惡意軟體
網路釣魚和惡意軟體是兩種最普遍的安全威脅,因此是開發自動化使用個案的理想起點。組織可針對這些方案自訂播放簿,以滿足其特定需求,並將其作為建立量身打造解決方案的範本。
洞察力:根據 2022 年 Unit 42 事件回應報告,77% 的入侵疑似源自三種主要存取媒介:網路釣魚、利用已知軟體漏洞,以及暴力攻擊憑證 - 主要針對遠端存取協定 (RDP)。
利用 Cortex XSOAR 市集
Cortex Marketplace 提供 1,000 多個預先建立的 playbooks 內容包,以及與 SOC 中使用的安全和非安全工具的整合。這些資源來自廣泛的研究、實際經驗、客戶回饋和使用資料,提供多種可能滿足組織需求的選項。
Cortex Marketplace 的內容會不斷地更新,以反映新興的產業趨勢和使用者回饋。透過分享洞察力與經驗,組織可以為安全自動化的演進做出貢獻,協助塑造未來的工具與玩法,以因應最新的威脅與挑戰。
選擇正確的 SOAR 平台
選擇正確的 SOAR 平台對於實現高效率的安全自動化至關重要。理想的平台應能利用即用型播放簿快速實作,並支援組織安全需求演進時的擴充能力。這包括整合威脅情報等進階功能,以及在整個安全性工具集、各功能團隊和分散式網路之間無縫協調工作流程。
此外,平台應與外部威脅情報來源整合,以提供威脅的即時可見性,協助組織領先新興風險。
Cortex XSOAR 如何簡化 SecOps 團隊的生活
- 加速事件回應:Cortex XSOAR 以自動化流程取代重複、低階的手動工作,縮短事件回應時間。這可加快回應速度、提高準確性,並提升分析師的滿意度。
- 標準化與大規模流程:透過提供按部就班、可複製的工作流程,安全自動化有助於將事件豐富化和回應的流程標準化,確保一致的回應品質和有效率的大規模擴充能力。
- 統一安全基礎架構:Cortex XSOAR 是一個中心樞紐,將以前互不相關的安全工具和產品連接起來。這種統一的方法可讓分析師從單一的整合式主控台管理事件回應。
- 提高分析師的生產力:隨著低階工作自動化及流程標準化,分析師可以專注於更高價值的活動,例如威脅搜補及規劃未來的安全策略,而不致於陷入例行工作的困境。
- 充分利用現有投資:Cortex XSOAR 可將重複的動作自動化,並將在多個控制台之間切換的需求降至最低,從而最大化現有安全投資的價值,並加強不同工具之間的協調。
- 簡化事件處理流程:透過與主要 IT 服務管理 (ITSM) 工具(如 ServiceNow、Jira 和 Remedy)以及通訊平台(如 Slack)整合,自動化簡化了事件管理。這可根據預先定義的事件類型,自動將事件分發給適當的利害關係人,從而加速事件的處理和解決。
- 改善整體安全勢態:這些優點有助於強化整體安全勢態,降低安全風險和潛在的業務影響。
SOAR 部署與使用案例常見問題集
SOAR 平台可透過 API 與預先建立的連接器與現有的安全工具整合。這些步驟通常包括:
- API 配置:設定 SOAR 平台與安全工具 (例如 SIEM、防火牆、端點防護) 之間的 API 連線。
- Connector 部署:部署和配置連接器,以促進工具之間的資料交換和指令執行。
- 自訂整合:對於沒有預先建立連接埠的工具,可使用 SOAR 平台的腳本和 API 功能開發自訂整合。
SOAR 部署中常見的挑戰包括:
- 整合複雜性:可透過周詳的規劃、使用標準化 API 及利用供應商支援來降低風險。
- 工作流程設計:讓有經驗的安全分析師參與工作流程的定義與測試,即可克服這個問題。
- 變更管理:透過全面的訓練和與利害關係人的清楚溝通來解決。
- 可擴充性:通過選擇可擴展的 SOAR 平台並逐步擴大其使用範圍來確保。
- 資料品質:透過確保從整合工具輸入準確一致的資料來改善。
SOAR 部署的成功與否,可以用幾個嚴重性的指標來衡量:
- 縮短回應時間:測量偵測、調查和回應事件所需時間的縮短程度。
- 增加事件處理能力:追蹤部署前後所處理的事件。
- 工作流程效率:評估工作流程自動化的成效與效率。
- 使用者滿意度:收集安全分析師與利害關係人對 SOAR 平台可用性與影響的回饋意見。
- ROI (投資報酬率):計算因減少手動工作和提高事件回應效率而節省的成本。
- 分析師保留:透過提供更好的工作與生活平衡及職涯發展機會,並能專注於複雜且重要的任務,協助預防分析師的倦怠感。
這些度量標準有助於量化改善效果,並證明對 SOAR 平台的投資是可量化的。
