“如果你想做好工作,你必须先利用其器械”,自动化工具和机器学习(ML)这就是 *** 安全专家的原因。
当他们在工作中面临大量数据时,他们很难捕捉到各种威胁类型和攻击技术。如何有效地处理这些不断变化的数据,以及如何最有效地提取内容?基于安全自动化ML早期分流可以减少数据量,提高工作效率,那么企业应该如何使用这个工具呢?
服务多,连接松散
在当今多云解决方案的世界里,企业和其他组织发现自己面临着前所未有的安全工具集。现在,安全运营团队不仅需要覆盖传统的数据中心和多云提供商,还需要管理容器安全等新平台的安全Kubernetes和OpenShift等。
相反,应用程序正在成为一个原因API调用多用途服务的松散耦合组合。更复杂的是,这些服务可以位于任何地方,跨越多个云和数据中心,甚至可能不由同一家公司运营。
因此,对于安全运营团队来说,数据的处理 *** 和“应用”数据流变得难以理解。此外,为了追溯各种技术造成的安全事件,需要将多个部署信息集成到相同的显示屏中。因此,将不同工具获得的信息集成到单个总视图中,通过处理呈现企业的整体安全状况。
这就是安全自动化的作用。除了呈现整体安全状态外,还可以帮助企业发现安全问题,顺利处理问题。为了实现安全自动化,人们需要从多个角度跟踪事件,并将多个部署数据集成到显示图中。他们还可以完全检查和处理相互连接的端点,以帮助了解企业的整体安全状况。
加快威胁响应速度
人工任务时代正在结束。
如今,大量的数据和不可预测的威胁攻击意味着人们无法在有限的时间内处理这一切。因此,基于自动化和机器学习的早期分流可以将数据量降低到人类可控范围。
IBM提出了高级威胁处理评分的安全自动化解决方案。它使用各种机器学习算法来分析威胁模式,并采取行动来改进和减少问题,供人类分析师审查。
该领域的另一个关键因素是IT自动化与 *** 安全的整合。虽然 *** 安全不仅仅是一个IT但对发现的问题的反应和修复往往属于IT类别。我们需要摆脱这样一个想法,即在提出问题后把它扔掉IT团队需要采取主要措施来处理问题。
互动,自动响应
DevSecOps提出持续集成和持续部署(CI/CD)结合软件定义的 *** 和基础设施,我们企业基础设施的配置现在由软件驱动,需要不断更新。
企业使用自动化IT例如,配置工具Ansible、Jenkins或Puppet,安全安排、自动化和响应(SOAR)工具连接,使用预先约定的配置进行更改(称为playbook)自动响应。因为这些。playbook必须经过IT安全运营中心可以提前批准团队(SOC)团队运行,因此,这些信息可以快速与每个人同步,相对容易审计和保持严格的配置控制,缩短了安全事件的响应时间。
- 将检测与响应联系起来有点?
- SOC团队可以主动保护企业,而不仅仅是“提出问题”。
- 安全操作团队和IT更好地沟通、规划和整合团队。
- 减少IT团队的应急负担。
- 事件响应可以在几分钟内做出,而不是几小时或几天。
- 还可以快速预防未知威胁
这种高度自动化的 *** 不仅缩短了响应时间,而且是安全操作和IT团队提供了更多的时间来研究已经发生的问题。因为现在人们往往专注于以前从未见过的新攻击,而不是处理已知威胁的重复攻击。
安全自动化需要合作
安全自动化需要各方的合作和努力。IT团队的需求必须与正常运行时间、可靠性和弹性等安全团队的需求保持平衡。IT团队需要信任安全运营团队,并允许他们每次都在不需要IT在直接批准的情况下,激活更改系统设置响应。为了充分发挥其潜力,两个团队都需要承担责任,了解对方的需求。
企业正面临越来越多、越来越精细的攻击,他们所依赖的应用程序变得越来越复杂。因此,攻击检测和响应的自动化不再仅仅是一个美好的愿望,而是企业安全的重要组成部分。
参考来源
https://securityintelligence.com/posts/security-automation-enterprise-defense/