最后更新于2023年4月25日星期二20:00:06 GMT
作为布鲁克斯公司的高级信息安全工程师, 一家国际跑鞋和服装公司, 我能体会到发起一个 安全业务流程, automation,并首次使用响应(SOAR)工具. 我在两家不同的公司做过, 所以我将分享一些经验教训,以及我们如何克服一些减速带和过去的摩擦点的例子. 我还将描述帮助我们创建一个坚实的SOAR项目的关键步骤.
在布鲁克斯我们选择 Rapid7的InsightConnect (ICON) 作为我们的安全自动化工具经过彻底的产品审查. 我对ICON很熟悉,因为我在以前的公司用过它. 还有其他的SOAR工具, 但根据我的经验,InsightConnect是我的首选, its integrations, support, 以及Rapid7在SOAR的创新记录. 我们现在做的每件事都离不开InsightConnect. 我们使用它来减少分析师花在手动、重复任务上的时间,并简化我们的 incident response and 脆弱性管理 processes.
当你开始使用SOAR时,有两件重要的事情你需要做好.
- 一是获得活动目录(AD)团队对自动化过程和他们需要扮演的角色的支持. At Brooks, 我们的年度目标被分成了几个季度, 所以把它作为我们整体SOAR目标的一部分纳入他们的季度目标是非常重要的. 这也适用于IT和安全组织的其他领域
- 第二步是在最初的30到60天内完成所有的集成. 这是至关重要的,因为自动化工具的好坏取决于您所部署的集成. 其中可能有50%到60%属于IT安全, 但剩下的30%或40%仍然非常重要, 鉴于安全团队对其他组织及其系统的依赖程度. 因此,获得拥有这些系统的团队的支持并设置所有集成是关键.
从合作开始,建立信任
一个成功的SOAR项目需要与内部合作伙伴的信任和协作, 工程和运营以及设置活动目录域的团队—因为他们帮助设置安全自动化所依赖的集成. 您需要建立这种信任,因为IT团队在自动化方面经常犹豫不决.
在与这些团队的对话中, 让他们知道你不会完全自动化一些事情,比如屏蔽网站或删除用户. 此外,强调几乎所有的工作都需要人类的互动和监督. 我们只是在丰富和加速我们已有的许多流程. Therefore, 除了我们的时间,它还会解放他们的时间,因为它完成了他们已经为我们做的事情. 记住,我们有能力看到是否发生了一些可能是由SOAR工具引起的事情, 所以这是自动化与人类决策的结合.
例如,说某事开始不工作. 团队问你:“嘿,发生了什么变化?“随着ICON的启动和运行, 你可以在几秒钟内搜索到, for example, 在过去的24小时内防火墙发生了什么变化. 发生了什么登录? 是否有任何用户帐户锁定? 我可以在几秒钟内搜索出来. 以前,我通常要花15到30分钟才能回复他们. Not any more. 这就是我所说的快速故障排除.
与您的安全分析师会面并解释工作流程
从一开始, 与您的安全分析师会面并解释您创建的初始工作流是很重要的. Then, 让他们思考最经常发生并消耗他们大量时间的前五个警报, 以及他们需要从这些警报中获取什么信息. 例如,对于双因素身份验证日志,问题可能是“设备名称是什么?? 谁是用户的经理? 他们在哪里??然后,您可以使用SOAR工具为他们获取这些信息. 这将帮助他们直接看到好处.
这种方法有助于分析师的保留,因为自动化成为所有其他工具的平台粘合剂. 它还减少了分析师花在重复性苦差事上的时间. Now, 如果环境中出现了什么,他们就能给出更自信的答案, 他们可以专注于更有创造性的工作.
为SOAR贡献一份资源
我认为在最初的六个月里,有一个人至少花一半的时间致力于SOAR项目是很重要的. 这就是团队的不足之处. 当有了员工和时间的承诺,这个过程很快就会扩展到简单的任务之外. 然后你会想,“我还能自动化什么?? 我可以从Rapid7工作流市场中选择哪些额外的工作流并自定义供我们自己使用?"
利用Rapid7扩展库
好消息是您不需要从头开始构建工作流(剧本). The Rapid7扩展库 包含数百个工作流,您可以将其用作满足需求的核心基础. 然后你可以调整最后的15%到20%,使工作流程更适合. 这些预先构建的工作流使您开始运行. 不要把它们看作现成的工具,而应该把它们看作工作流思想和精心策划的最佳实践. 我第一次使用InsightConnect, 我使用了网络钓鱼工作流程,并在不到两周的时间内开始看到价值.
如果方法不对,在公司的网络环境中实现安全自动化工具可能是一个挑战. 我知道,因为我经历过. 但Rapid7的InsightConnect使它变得更容易,几乎可以实现任何你能想到的. 使用SOAR解决方案, 您的分析师将花费更少的时间在繁重的工作上,而将更多的时间用于优化您的安全环境. 这些都是我在布鲁克斯亲眼看到的实实在在的好处. 遵循下面的简单方法,您也可以拥有它们. Best of luck.
更多阅读:
