从安全运营质量评估看自动化和工具的发展
每年的HW都像是一次考试,不仅考验着企业在面临威胁时的临场反应能力,也考验着其在日常安全运营中所积累下来的可持续性、响应速度和整体安全质量。相对于攻击方层出不穷、羚羊挂角般的攻击方式,防守方能倚靠的只有稳扎稳打的安全策略和常态化、全面化的安全运营。换言之,HW真正比拼的是企业安全运营的建设进度,对各类安全技术的应用以及应急响应和处置效率等。因此,攻防演练,就是对企业安全运营质量的考核和评估。
安全运营,需要评估质量
实际上,大部分参与HW的企业都或多或少具备一定的安全能力,在HW来临时,企业需要对自身安全情况进行查漏补缺。根据企业信息化阶段不同,对安全运营的评估方式也不同。
当下,泛滥的安全工具使企业安全呈现出碎片化、割裂化的态势,处于信息化早期的企业,其安全运营的主要目标是将安全技术和工具加以整合,以实现统一的调用和规划。在这个阶段,评估安全运营更多关注在安全领域的覆盖度和整合的效果。
整合效果的逐步优化和提升反映出企业信息化程度的加深,同时,持续升级的外部威胁也更加考验安全运营的对抗能力和处置效率。因此,安全运营做得怎么样,效果好不好,是否能够快速响应应对威胁,并保障可持续、可维护,就需要通过不同维度的指标来予以评估。
平均威胁检测时间(MTTD)、平均威胁处置时间(MTTR)等是业界通用的安全运营评估指标,上述过程中,我们需要重点关注漏报和误报程度、漏洞补丁更新时间、漏洞评估结果、警报分类时间、警报鉴定时间、威胁调查时间、缓解时间、恢复时间等,这些决定了安全运营是否具备快速响应处置威胁的能力。
而在威胁处置的过程中,不论是信息和事件的协同处理,关联新数据检索、快速通知、调查取证,还是事后溯源分析、报告整理等,都需要安全运营具备自动化统计的能力;尤其在当前安全技能短缺、人才不足的情况下,知识库和经验的沉淀可以确保安全运营的可持续性和可维护性;此外,安全运营的可视化是向高层领导证明其自身价值的重要保障。
正如攻防演练难度不断提升一样,网络威胁形势日益严峻。与之不对等的,是现阶段安全运营能力欠缺,安全产品/工具品类繁多但使用不善,人员疲乏,投入较大。这也使我们不得不通过更多的指标来评估安全运营的质量,以期让其更加完备,能够全面地满足企业常态化、可持续的安全建设及防护需求。
自动化,就是安全运营一直以来,更是眼下最需要追逐的路径。
安全运营自动化的发展
自动化的概念一直贯穿在安全运营中,其本质是机器执行重复、耗时和单调的任务,以解放人员压力,使其专注于更为重要的事情。特别是在攻击方式快速变化,攻击时长缩短至分钟级之后,安全运营更需要自动化来提高应急响应和处置效率,将损失进一步降低。
最早的自动化主要依靠定制化脚本来实现。通过脚本,组织可以提高工作效率和减少人工操作的方法。但由于这些脚本难以更新和与其他系统集成,便逐渐形成了通用无代码自动化(RPA)工具。
如Zapier、n8n和UIPath等通用自动化工具主要专注于在各种应用程序和系统之间自动化工作流程,虽然它们并非专为安全运营设计,但却能够有效提高响应效率。只不过由于这些解决方案缺乏专门针对安全团队独特需求的功能,使得它们在安全运营自动化的发展过程中逐渐暴露其局限性。
因此,在脚本和平台的基础上,安全运营提出了专门安全自动化工具,也就是SOAR。SOAR是根据安全特定功能构建的,包括威胁情报/SIEM平台集成、事件响应和为安全事件量身定制的自动化工作流。SOAR旨在处理SIEM的输出,通过自动化响应并提供管理、规划和协调事件响应活动的工具。
通过安全编排和自动化,可以将人、流程、技术和工具进行整合,辅助安全运营人员日常工作,实现安全运营效率的提升。
4月15日,全国网络安全标准化技术委员会发出通知,国家标准制定项目《网络安全技术 网络安全运维实施指南》正式面向社会发布征求意见稿。指南给出了网络安全运维效果评估模型与效果度量指标,其中“团队、流程和工具”是评估网络安全运维等级效果的关键因素。
围绕工具,《指南》表示要“将团队、流程、工具有机结合,以实现自动化、数据化、智能化的业务流转、业务监控和业务考核,快速提升和持续改进安全能力”。
由此可见,安全运营建设需要工具的支持,而工具正是可以在安全运营自动化中发挥极为重要的作用。而工具的应用程度,以及其在安全运营过程中的协同联动水平,也成了评估安全运营质量的一个关键指标。
接下来,我们将以SOAR为例,阐述自动化工具在安全运营中的应用和发展。
安全运营自动化工具的应用
作为工具的典型代表,SOAR可以通过编排和执行安全剧本的方式,完成原来需要多人多系统多界面在线协同才能处置的安全任务,大幅节约响应时间,降低人员依赖,提升工作效率,保障应急处置质量,整体提高安全团队MTTR水平。
在自动化统计方面,SOAR可以自动化协同多个安全工具处理常规性威胁信息和事件,通过协调、汇总和挖掘,可以精准发现攻击类型和关键威胁,缩短威胁检测和响应的总体平均时间。
部分SOAR工具还内置了安全事件报告功能,针对每个已经处置完成的安全事件,可以一键生成事件总结报告。报告包括与事件相关的时间、人员、剧本等信息,从而让用户进一步完善响应和处置流程,从整体上提升响应效率。而这个过程中,安全团队可以将报告向上级呈现,让安全运营的工作可量化,让安全价值可视可见。
为了确保安全运营的可持续和可维护,SOAR平台通过丰富的安全剧本和知识库,持续不断地沉淀安全团队的历史经验、WIKI、文章等,不仅可以直接执行调用实现线上能力转换,还可以用于内部教育学习,持续赋能,在增强安全运维能力的同时,提升企业整体的安全水位,并持续改进。
总而言之,SOAR实现了安全资源的统一利用与调度,丰富了监管部门和运营企业的管理手段;通过引入自动化手段提升效率,减少了应急响应人员的投入;平台通过整合并封装标准能力接口,结合人机协同技术,实现了安全应急响应能力的对外开放,从而实现了安全能力的行业赋能。
但随着网络威胁在近年来变得日趋复杂,传统的SOAR工具随着规模和复杂性的增长也开始面临重大挑战。
因此,在SOAR之外,行业开始逐渐思考超自动化和AI-SOC的发展与应用。
超自动化、AI-SOC 与SOAR并驾齐驱
参考“安全喵喵站”此前发表的《ASOC的崛起|SOC自动化的未来会怎样?》一文,可以看到超自动化解决方案可以更进一步地处理包括资产安全、安全架构和工程、身份和访问管理、安全评估和测试、软件开发安全性以及网络安全等领域。
换言之,如果组织的主要目标是简化其SOC运营,例如事件响应、威胁情报、取证和漏洞管理,则可能更喜欢SOAR。相反,如果组织希望在各种网络安全功能和部门之间实施全面的自动化策略,则超自动化可能更适合。
而LLM(大型语言模型)代理系统的进展,正在引领安全自动化能力进入新时代。它们的构想是,AI代理将能够实现完全自主的运作,模仿SOC分析员,掌握各种工具的独特查询语言,解释安全数据,并计划调查,同时将严重问题升级至人工审查并解决无害的告警。
AI专员承诺,安全团队将不需要配置更多基于规则的剧本。可以自行执行一级调查——对真实问题进行升级以供人工审查,并关闭无害问题。这些虚拟分析师可以在24/7的情况下在几分钟内对威胁做出响应,且永远不会疲惫。
当然,这个承诺是否能够实现,现在看来还为时过早。
无论是超自动化还是AI-SOC,都不是对于SOAR的替代,三者的有机结合,才是提高企业安全运营质量,提升安全运营自动化能力的有效方式。
事实上,SOAR厂商也正在探索与AI的有机结合。通过AI+SOAR,可以有效应对海量运营数据的提炼、分析以及误报率高等问题。利用超自动化的广泛协调能力和AI的分析及处置能力,可以进一步提升SOAR的作用,进一步满足更多对安全运营的需求。此外,AI还提升了智能编排能力,对编排能力进行持续更新和迭代,不断提升编排技术的能力。
因此,安全运营自动化正在迈入一个全新的阶段,通过超自动化、AI-SOC以及AI+SOAR三驾马车的并驾齐驱,能够进一步提高安全运营的自动化水平,提升安全运营质量;在应对不断变化且严峻的威胁时,满足提速和提效的核心诉求。
最终,实现企业安全建设综合能力的提升。
结语
通过SOAR及AI等技术和工具的使用,目前已经有不少产品可以解决人-人、人-机协同过程中存在的问题。通过SOAR与AI的结合,在面对例如一键封禁IP、钓鱼邮件分析、入侵调查/攻击溯源、网络故障针对、快速发现资产和权限、事件总结以及设备巡检方面能够达到几十倍上百倍的效率提升,将过去数分钟数小时的人工耗时缩减为分钟级甚至秒级。同时,自动化编排也解决了在安全响应中依赖人工的问题,实现了极速的降本增效和安全运营。
作为专注AI和SOAR的安全运营解决方案供应商,雾帜智能近年来一直致力于AI+SOAR的技术创新。不仅在今年推出了新一代AI+SOAR产品,还将于下半年公布或迭代更多的系列AI加持的技术创新成果,包括:智能安全咨询器、人工智能交互式诊断专家、量化风险计算等。
通过超自动化和AI的加持,SOAR及SOC势必迎来新的篇章。无论技术如何发展,安全运营的核心都不会变,那就是依靠自动化策略,统筹协调所有安全工具和技术,全面覆盖企业的数字资产和暴露面,料敌机先,及时阻断。
推荐阅读
如果您有兴趣了解更多我们的信息,欢迎点击**“阅读原文”**
