Comment réaliser facilement la réponse SOAR à l'orchestration de sécurité d'entreprise

Le guide du marché 2019 de l'orchestration de sécurité et des solutions de réponse automatisée (SOAR) publié par l'agence de conseil faisant autorité Gartner indique que « d'ici 2022, plus de 30 % des entreprises de sécurité disposant d'équipes de sécurité de plus de 5 personnes utiliseront l'orchestration de sécurité SOAR. .» Aujourd'hui, nous présenterons comment les entreprises peuvent utiliser le système NSFOCUS SOAR pour terminer l'orchestration de la sécurité et la réponse automatisée en trois minutes.

Examinez les points faibles et les exigences des entreprises dans les opérations de sécurité à partir du processus de gestion des incidents de sécurité

Dans l'exploitation et la maintenance de sécurité traditionnelles et la gestion des incidents des entreprises, le processus suivant est généralement suivi :

Tableau : Processus traditionnel d'exploitation et de maintenance de la sécurité

Après les 7 étapes ci-dessus, le processus de traitement d'un incident de sécurité de l'information est terminé. Dans ce processus, plusieurs départements et différents rôles seront impliqués, le processus d'élimination est lourd, l'efficacité est difficile à quantifier et les processus d'élimination pour différents événements sont difficiles à normaliser.

Dans le même temps, les entreprises sont souvent confrontées aux problèmes suivants en matière d'exploitation et de maintenance de la sécurité : trop d'alarmes d'événement et les alarmes d'événement valides sont noyées, ce qui rend difficile la gestion rapide des incidents de sécurité. Les entreprises manquent souvent de professionnels en matière d'analyse et de traitement de la sécurité. L'expérience en matière d'analyse de la sécurité est difficile à consolider, et les experts en sécurité peuvent facilement se retrouver coincés dans un travail répétitif de traitement de la sécurité, ce qui rend difficile l'exercice de leur véritable valeur. Le plus important est que les entreprises sont limitées par les processus et le personnel, et que les réponses de sécurité traditionnelles prennent trop de temps.

Par conséquent, les entreprises ont ajouté les exigences suivantes au développement et à l'évolution des opérations de sécurité :

Améliorer le rapport signal/bruit : augmenter l'efficacité des alarmes haute fidélité, afin que les ressources limitées d'experts en sécurité puissent se concentrer sur les risques et problèmes réels.

Réduire le MTTR : ​​solidifiez le processus d'élimination sûr, accumulez continuellement une expérience opérationnelle et poursuivez les opérations, de sorte que le temps de réponse et d'élimination soit continuellement réduit.

Solution d'orchestration de sécurité et de réponse automatisée NSFOCUS SOAR

Photo : entrée du composant NSFOCUS SOAR

La plate-forme d'opérations de sécurité intelligente ISOP a intégré la fonction de réponse automatisée d'orchestration de sécurité SOAR et est exploitée à partir du centre d'opérations de sécurité intelligent NSFOCUS ISOP Réponse dimensionnelle -Le portail d'orchestration lié vous permet d'utiliser les fonctions d'orchestration de sécurité et de traitement de réponse automatisé pour démarrer le parcours de réponse d'orchestration de sécurité automatisée d'entreprise.

Photo : Solution d'orchestration de sécurité et de réponse automatisée NSFOCUS SOAR

Le composant SOAR d'ISOP intègre profondément les personnes, la technologie de sécurité et les processus via une orchestration visuelle. Les événements de sécurité sont construits en série et en parallèle via des scripts Playbook solidifiés à partir d'une opération et d'une maintenance manuelles ; Le workflow d'élimination de l'expérience déclenche automatiquement différents dispositifs de sécurité pour effectuer des actions de réponse. La gestion des cas est basée sur une compréhension plus complète et de bout en bout du contexte des événements de sécurité, aidant les entreprises à transformer des processus de réponse aux incidents complexes et des flux de tâches en des processus cohérents, reproductibles et mesurables. et des flux de travail efficaces transforment la réponse d'urgence passive en réponse continue automatisée.

Cinq cœurs aident les entreprises à répondre à l'orchestration de la sécurité

1. Gestion des cas du cycle de vie complet

Figure : Gestion des cas

Le cas est la fonction la plus élémentaire du composant SOAR, qui s'étend tout au long du cycle de vie de la gestion des incidents de sécurité. , y compris les informations Sélection et exécution des sources de journaux, règles de sécurité, collecte de preuves de renseignement et scripts de manuel de gestion des incidents requis pour l'analyse et le jugement des incidents de sécurité. Tant que les événements de sécurité d'alarme dans l'entreprise peuvent être mis en correspondance avec les cas, le traitement automatisé des réponses peut être effectué. Les cas ont une compréhension plus complète et de bout en bout du contexte des événements de sécurité, ce qui aide à convertir les processus de réponse aux incidents complexes et à les traiter. tâches en un flux de travail cohérent et reproductible, mesurable et efficace.

Dans les opérations de sécurité d'entreprise, les événements de sécurité courants peuvent être corrélés avec des cas SOAR de différentes catégories, des cas de même nature (tels que le minage, l'intrusion, le déni de service, le chantage, le phishing, le hotlinking, la fuite d'informations, etc.). Vous pouvez choisissez une méthode de traitement similaire.La fonction de traitement du processus de cas peut attribuer différents scripts Playbook à des cas de nature différente et superviser l'exécution pour compléter la réponse et le traitement automatisés en boucle fermée des incidents de sécurité de l'entreprise.

2. Disposition visuelle par glisser-déposer en toute sécurité

Image : Disposition visuelle du cas 1

Figure : Disposition visuelle du cas 2

Le composant SOAR dans ISOP intègre des cas correspondant à certaines attaques courantes. De plus, les entreprises peuvent créer rapidement des cas et leurs scripts Playbook correspondants grâce à un agencement visuel par glisser-déposer. Il existe souvent des dépendances entre les différentes étapes de recherche de sécurité et. jugement et processus d'analyse des incidents de sécurité Grâce à la méthode visuelle de glisser-déposer, il fournit un contexte pour la gestion de la sécurité, évite le besoin de sauter et de basculer entre différentes pages dans l'exploitation et la maintenance traditionnelles et réduit la complexité de la gestion des incidents de sécurité. Une fois qu'un dossier est créé et activé avec succès, les événements ultérieurs qui touchent le dossier peuvent être traités de manière automatisée, réduisant ainsi le coût de la communication collaborative et le flux des processus entre les différents services.

Figure : Suivi du processus d'élimination des cas

Case peut aider les entreprises à mener des enquêtes, des analyses et des enregistrements de suivi de gestion des réponses rationalisés et continus pour un ensemble d'événements liés. Au cours du processus d'exécution du cas, l'état d'exécution de chaque processus intermédiaire de la sécurité. Les incidents (succès, exécution, échec) peuvent tous être affichés dans le processus d'orchestration visuelle, réalisant ainsi une visualisation de bout en bout du processus d'exploitation et de maintenance.

3. Traitement automatisé des scripts Playbook

Image : État d'exécution du Playbook

Les scripts Playbook sont équivalents au flux de travail des ingénieurs de sécurité, qui peuvent piloter le traitement automatisé de sécurité en boucle fermée des événements de correspondance de cas. Le module peut être impliqué Plusieurs scripts sont exécutés simultanément et l'état d'exécution des différents scripts peut être globalement aperçu via l'interface (exécution, exécution réussie, échec).

L'expérience dans le processus de gestion des incidents de sécurité dans l'entreprise peut être consolidée dans des scripts Playbook et appliquée à la gestion automatisée des réponses. Les actions de gestion peuvent inclure le blocage d'équipements, l'envoi d'ordres de travail, la notification par e-mail, etc., afin que les experts en sécurité puissent partir de là. tâches de sécurité fastidieuses et répétitives libérées lors de l'exploitation et de la maintenance.

4. Intégration de l'équipement de réponse plug-in

La réponse de blocage du «dernier kilomètre» automatisée de l'orchestration de sécurité est généralement exécutée par l'équipement de sécurité NSFOCUS Le module de blocage en un clic ISOP a accumulé un grand nombre d'équipements de traitement de réponse au début. , tels que les pare-feu, ADS, UTS, IDS, WAF, etc. Les actions de réponse incluent : le blocage de session, le blocage IP, la liste noire de noms de domaine, le nettoyage de la traction du trafic, etc. Ces dispositifs ne nécessitent pas de développement secondaire et peuvent être plug-and- jouez directement via le module SOAR. Il vous suffit de développer un plug-in basé sur l'interface de gestion et de contrôle vers le nord fournie par l'appareil tiers pour compléter la réponse automatisée d'orchestration de liaison de l'appareil tiers.

Les appareils de sécurité connectés au système SOAR peuvent effectuer un traitement de réponse automatisé via des appels de script Playbook, sans qu'il soit nécessaire que le personnel d'exploitation et de maintenance de la sécurité se connecte à des appareils de sécurité indépendants pour configurer des stratégies de blocage.

5. Affichage sur grand écran du fonctionnement et de la maintenance automatisés

Figure : Affichage sur grand écran du fonctionnement et de la maintenance automatisés

Le fonctionnement et la maintenance automatisés sur grand écran peuvent présenter la réponse et le traitement automatisés de l'entreprise dans une perspective globale. , tels que l'efficacité des opérations de réponse automatique, les informations statistiques sur les événements de cas, les tendances de traitement des événements de cas, les informations d'exécution de script, etc. affichent les indicateurs d'exploitation et de maintenance de manière mesurable et quantifiable.

La valeur que le système NSFOCUS SOAR apporte aux opérations de sécurité de l'entreprise

1. Réduisez le temps de traitement des incidents de sécurité MTTR

Pour les événements de cas connus, grâce au mécanisme de déclenchement de correspondance de cas, les entreprises peuvent terminer l'orchestration de la sécurité et l'automatisation en boucle fermée en trois minutes. Processus de réponse.

Tableau : Comparaison des délais d'exploitation et de maintenance traditionnels et des temps de réponse automatisés d'exploitation et de maintenance

2. Libérer le personnel d'exploitation et de maintenance de sécurité des travaux répétitifs

Consolider l'expérience des experts en sécurité dans les Playbooks pour réaliser une analyse des attaques connues. l'ensemble du processus de recherche, de jugement et d'élimination est automatisé, afin que les experts en sécurité puissent consacrer leur énergie à la confrontation rouge-bleu, à la chasse aux menaces, à la modélisation des menaces, à l'analyse APT, à l'exploration des vulnérabilités et à d'autres scénarios de travail qui nécessitent des compétences de sécurité avancées, créant ainsi davantage d'opportunités. pour les travaux d'exploitation et de maintenance de sécurité d'entreprise.

3. Standardiser le processus d'élimination de la sécurité et réduire le coût de la communication collaborative entre les départements

L'essence du système SOAR est la sélection de stratégies de recherche et de jugement et de stratégies d'élimination correspondant à différents scénarios de menace. Playbook dans la concurrence offensive et défensive de l'entreprise.La normalisation des processus d'exploitation et de maintenance est une condition préalable à la solidification des scripts Playbook. Les Playbooks SOAR peuvent être utilisés comme point de départ pour normaliser les processus de traitement complexes et irréguliers et consolider la normalisation de la sécurité des informations de l'entreprise. processus opérationnels.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!