Bagaimana untuk membina SOAR

Syarikat yang mempertimbangkan untuk membeli penyelesaian Security Orchestration, Automation and Response (SOAR) sering bimbang bahawa projek tindak balas insiden sedia ada mereka masih belum cukup matang untuk melaksanakan platform komprehensif dengan keupayaan automasi dan orkestrasi. Bermula dari awal boleh kelihatan menakutkan apabila anda hampir tiada asas, terutamanya jika tiada seorang pun dalam pasukan yang mempunyai pengalaman dengan tindak balas insiden atau penyelesaian orkestrasi keselamatan.

Walaupun tiada siapa yang mahu hanya menambah automasi kepada proses yang tidak cekap, tetapi jika kaedah lama itu sendiri tidak lagi cukup baik, jelas sekali tidak saintifik untuk menyatukan lagi cara lama ini dalam mengendalikan insiden keselamatan.

Jika anda ingin meningkatkan operasi keselamatan syarikat anda tetapi tidak tahu di mana hendak bermula, langkah berikut boleh membantu anda bersedia untuk berhijrah ke platform SOAR.

1. Ambil stok operasi semasa

Syarikat yang percaya mereka tidak mempunyai program tindak balas insiden mempunyai sebab mereka sendiri. Dengan atau tanpa SOAR atau platform tindak balas insiden, setiap syarikat mempunyai beberapa cara untuk menguruskan insiden keselamatan, walaupun ia mungkin melibatkan banyak penambahbaikan dan proses ad hoc.

Sambil anda bersedia untuk melaksanakan platform SOAR, luangkan sedikit masa untuk berbincang dengan pihak berkepentingan syarikat untuk memahami proses semasa anda dan keberkesanan (atau ketidakberkesanan) proses tersebut. Ini harus termasuk senarai alat dandanan:

• Apakah infrastruktur sedia ada untuk IT dan keselamatan maklumat?

• Adakah terdapat sebarang alatan untuk operasi pengayaan data?

Setelah anda mengetahui alat yang tersedia, anda boleh memetakannya ke dalam kitaran hayat tindak balas insiden, seperti yang diterangkan dalam piawaian NIST 800-61r2 dan Kenal pasti syarikat itu kini hilang.

Seterusnya, semak proses atau manual tindak balas insiden yang diikuti oleh syarikat. Lihat bagaimana pusat operasi keselamatan (SOC) bekerjasama secara dalaman? Bagaimanakah ia berfungsi dengan pasukan lain seperti IT dan organisasi privasi data? Bagaimanakah syarikat mengekalkan pematuhan undang-undang dan peraturan semasa tindak balas insiden? Bagaimanakah pasukan syarikat menguruskan insiden keselamatan biasa hari ini seperti pancingan data atau perisian hasad?

Jika ada metrik tersedia, semak metrik tersebut dengan teliti untuk mengenal pasti perkara yang berfungsi dengan baik dan di mana penambahbaikan diperlukan. Contohnya:

• Berapa lama masa yang diambil untuk mengesan dan membalas makluman keselamatan?

• Apakah aktiviti yang mengambil terlalu banyak masa penganalisis keselamatan?

Jika tiada metrik formal tersedia, minta penganalisis keselamatan dan pengurus untuk memberikan penilaian mereka sendiri.

2 Ketahui ciri yang paling sesuai untuk syarikat anda dan platform yang menyediakannya

Terdapat banyak platform SOAR untuk dipilih di pasaran, tetapi untuk mengecilkan pilihan anda, anda boleh luangkan Luangkan sedikit masa untuk mengenal pasti ciri yang paling penting kepada anda. Apakah proses yang anda mahu automasi dahulu? Apakah masalah masalah paling sukar pasukan keselamatan anda? Adakah terdapat insiden keselamatan berulang, silo data atau kesesakan proses? Penganalisis anda boleh membantu anda menjawab soalan ini.

Setiap platform mempunyai fokus tersendiri pada operasi keselamatan. Keupayaan ini secara kasar boleh dibahagikan kepada kategori berikut:

• Pengurusan Makluman: Membantu SOC menyusun, menilai dan menutup aliran berterusan makluman keselamatan daripada SIEM dan sistem sumber lain.

• Klasifikasi: Bantu penganalisis membuat keputusan dengan mengumpulkan maklumat kontekstual daripada sumber luaran dan dalaman seperti risikan ancaman dan rekod peristiwa sejarah.

• Respons insiden: termasuk buku main, pengurusan tugas, analisis pautan dan fungsi lain untuk menyokong aliran kerja tindak balas yang berkesan dan berulang.

• Ayat ini boleh ditulis semula sebagai: "Keupayaan pelaporan dan analisis membolehkan penjanaan laporan automatik atau berjadual, menjana metrik SOC terperinci dan menyediakan instrumentasi yang boleh disesuaikan untuk plat peranan pengguna sistem yang berbeza.".

• Pematuhan dan penjejakan: seperti jejak audit, rantaian jagaan dan templat pelaporan pematuhan biasa.

• Pengurusan kes termasuk ciri yang membolehkan penyiasat bekerjasama dengan pasukan lain, katalog untuk menyimpan kes insiden yang berkaitan, aliran kerja siasatan berpandu dan pengurusan bukti.

3 Cuba draf buku main

Anda boleh cuba merangka buku main untuk kes penggunaan paling kritikal anda untuk mendapatkan idea yang lebih baik tentang cara menggunakan platform SOAR pemahaman praktikal. Kemudian, kenal pasti langkah yang anda rasa boleh dipertingkatkan dengan automasi dan orkestrasi.

Vendor atau badan industri menyediakan contoh buku permainan dalam talian yang sepatutnya menjadi rujukan untuk langkah anda. Dengan menilai proses sedia ada syarikat dan membincangkannya dengan penganalisis syarikat, maklumat yang lebih berharga boleh diperolehi, termasuk kes penggunaan biasa atau penting. Anda boleh menggunakan kes penggunaan yang paling biasa, seperti pancingan data, kebocoran data yang disyaki atau jangkitan perisian hasad, sebagai titik permulaan untuk persekitaran keselamatan anda.

Melaksanakan penyelesaian SOAR, platform tindak balas insiden atau mana-mana alat keselamatan penting lain akan menjadi sukar jika anda tidak mempunyai sebarang program tindak balas insiden formal. Selagi anda mengikuti langkah-langkah di atas, anda akan dapat memahami dengan lebih baik situasi anda sendiri, mengetahui laluan yang perlu anda ambil dan hasil yang perlu anda capai.

Atas ialah kandungan terperinci Bagaimana untuk membina SOAR. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!