從無到有打造SOAR
考慮購買安全編排、自動化與響應(SOAR)解決方案的公司企業,往往會擔心自己現有的事件響應項目尚未成熟到可實現帶自動化與編排功能的綜合性平臺的程度。如果幾乎沒有任何基礎,從零起步似乎甚為艱難,尤其是團隊中無人有事件響應或安全編排解決方案經驗的時候。
雖然大家都不想僅僅是往低效過程中添加自動化就完事兒,但如果老方法本身已不夠好,進一步鞏固這種舊有的安全事件處理方式顯然更不科學。
如果你想要改善公司安全運營,但不知道從何處著手,以下幾步或許可以幫你準備好遷移到SOAR平臺。
1. 盤點當前運營狀況
認為自己不具備事件響應項目的公司各有各的道理。無論有沒有SOAR或事件響應平臺,每家公司都有些管理安全事件的方法,即便可能涉及很多即興動作和臨時過程。
準備實現SOAR平臺的時候,可以花點時間與公司利益相關者談談,了解當前過程及這些過程的有效性(或無效性)。這其中應當包括梳理工具清單:
- IT和信息安全的現有基礎設施有哪些?
- 有沒有什么工具可供進行數據豐富操作?
一旦弄清楚了手頭有哪些工具可用,你就可以將這些工具都映射進事件響應生命周期中,比如 NIST 800-61r2 標準中描述的那種,并識別出公司當前還缺些什么。
接下來,查看一下公司遵從的事件響應過程或手冊。看看安全運營中心(SOC)內部是怎么協作的?又是怎么與IT和數據隱私組織等其他團隊協作的?公司如何保持在事件響應過程中的法律合規與監管合規?公司團隊是如何管理網絡釣魚或惡意軟件之類當前常見安全事件的?
如果有可用的衡量標準,請仔細審查,找出運作良好的部分和需要改進的地方。比如說:
- 檢測并響應安全警報耗時多久?
- 哪些活動占據了安全分析師太多時間?
如果沒有正式指標可用,那就詢問安全分析師和經理,讓他們給出自己的評估。
2. 找出最適用于自己公司的功能,以及提供這些功能的平臺
市場上有各種各樣的SOAR平臺,要收窄自己的選擇面,不妨花點時間確認一下對自己而言最為重要的功能。想要首先自動化的過程是哪些?什么問題是你安全團隊最為棘手的?存不存在重復發生的安全事件、數據孤島或過程瓶頸?你的分析師可以幫你回答這些問題。
每個平臺都有各自側重的安全運營方面。這些功能大致可分為以下幾類:
- 警報管理:幫助SOC分揀、評估并關閉出自SIEM和其他源系統的持續安全警報流。
- 分類:通過從威脅情報和歷史事件記錄等外部和內部源收集上下文信息,幫助分析師做出決策。
- 事件響應:包含戰術手冊、任務管理、鏈接分析等功能,支持有效且可重復的響應工作流。
- 報告與分析:包括自動化或安排報告、產生詳細SOC指標,以及為使用該系統的不同用戶角色定制儀表板的能力。
- 合規與跟蹤:比如審計跟蹤、保管鏈和通用合規報告模板。
- 案例管理:包含對調查人員與其他團隊間協作的支持、相關事件的案例存儲目錄、有引導的調查工作流和證據管理。
3. 試著草擬一份戰術手冊
想要對如何運用SOAR平臺有個具體感知,可以試著為你最重要的用例草擬一份戰術手冊。然后,指出你覺得可用自動化和編排來加以增強的步驟。
從供應商或行業機構處可以很容易獲取在線戰術手冊樣例,這些樣例應能給你有關步驟上的參考。評估公司現有過程并問詢公司分析師可以得到更有價值的信息,包括常見用例或重要用例。可以從你安全環境中最典型的用例開始應用,比如網絡釣魚、可疑數據泄露,或者惡意軟件感染。
如果你沒有任何正式的事件響應項目,那實現SOAR解決方案、事件響應平臺或任意其他重要安全工具都會很困難。不過,只要遵循了上面描述的步驟,你就會對自身情況有個更好的認知,知道自己要走的路線和需要達到的效果。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
