Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
通过将自动化嵌入安全生命周期的每个阶段(从扫描漏洞到强制执行基于身份的访问控制),组织可以缩短响应时间并加强其整体安全和治理态势。
自动执行耗时的重复性任务——如屏蔽恶意域名、扫描暴露的机密和调查常见威胁,有助于团队更快速、更准确地应对威胁。安全管理团队可以减轻警报疲劳,同时专注于推行更具战略性的计划,例如主动威胁检测和策略优化。
根据 IBM 发布的“数据泄露成本报告”,应用安全自动化技术的组织可将泄露处理时间平均缩短 80 天,并将平均泄露成本减少 190 万美元。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
组织通常会部署多个协同运作的安全自动化平台,以实现混合环境下的可视化管理、统一编排与持续防护。
端点检测和响应 (EDR) 工具从所有端点(台式机和笔记本电脑、服务器、移动设备、物联网 (IoT) 设备)收集数据,同时实时分析不断变化的威胁。
安全编排、自动化和响应 (SOAR) 平台可提供中央控制台,将其他安全管理解决方案集成至威胁响应工作流,从而自动执行日常任务、调查和修复。
安全信息与事件管理 (SIEM) 系统可跨职能汇总数据,以识别威胁、生成安全警报并维护合规文档以用于审计和报告。
扩展检测和响应 (XDR) 平台可收集和分析来自端点、网络和云端的安全数据,以实现自动事件响应。
安全管理自动化工作流一般分为四个阶段:创建响应运行手册、检测并分析威胁、自动响应和记录事件。
XDR 和下一代 SIEM 等平台可以处理此工作流中的多个步骤,但难以涵盖所有步骤。相反,组织通常会部署多个核心工具,通过应用程序编程接口 (API) 和 IT 环境中的集成式仪表板共享数据。
越来越多的组织开始设计自动化工作流,以支持完整的安全管理生命周期,包括初始配置、凭据轮换和停用等环节。
部分团队还将机密扫描集成至其管道,以便在开发流程初期阶段检测暴露的凭据或 API 密钥,在漏洞进入生产环境前加以解决。
典型的安全自动化部署可能包括:
随着 AI 和 ML 驱动型管道的普及,保持严格的机密管理规范至关重要。凭据或令牌可能会在无意中被纳入模型训练数据集,进而引发新的暴露风险。
运行手册作为流程图,用于概述威胁检测、调查和事件响应等标准安全管理流程。运行手册可以跨越整个组织安全基础设施中的多个工具、应用程序和防火墙,使用自动化工作流取代手动流程。
其范围涵盖全自动化(屏蔽已知的恶意 IP)以及半自动化(在断开关键系统的连接前需进行人工审批)等领域。SOAR 平台通常擅长运行复杂的运行手册,跨多个工具自动执行任务。
在自动化环境中,运行手册可定义串联多个安全管理工具以执行复杂运营的工作流。团队负责制定安全策略,按威胁紧迫性确定优先级,并针对各类事件定义自动响应措施。
在不断演变的威胁态势中,安全管理自动化体系主要采用四种威胁检测方法:
不同的安全管理自动化工具可以通过关注系统的不同层面,检测多种威胁:
组织可根据业务需求和风险级别选择安全管理自动化工具,以优化其安全状况。处理敏感数据的企业可能会部署 ITDR 以防范网络钓鱼攻击,或集成机密扫描以降低凭据泄露的风险。
大型组织可能会增设 XDR 以执行更全面的安全管理任务,例如消除误报、协调响应以及在整个攻击面维持一致的防护措施。
当发现威胁时,安全管理团队会自动执行安全事件响应(即控制和解决安全漏洞的流程)。
自动化系统根据运行手册优先级对事件进行分类。然后,安全自动化会采取修复操作,例如阻止域、安装补丁、更新防病毒软件、扫描恶意软件、重新加密数据和更改用户访问权限。
不同类型的平台可以自动处理事件响应的各个环节。XDR 平台通常具备最全面的响应能力:断开受影响设备的连接、从网络中注销用户、终止进程并将数据源置于离线状态。
如果组织缺乏人员配置完善的安全运营中心 (SOC),则可使用托管检测和响应 (MDR) 提供商,借助外部 SOC 人员实时监控、检测和应对威胁。
根据所在地区和行业的不同,组织可能会受到法律或法规的约束,要求其对安全事件进行特定记录和归档。安全管理自动化技术可以帮助组织简化这一流程。
《支付卡行业数据安全标准》(PCI-DSS)、《通用数据保护条例》(GDPR) 、《健康保险流通和责任法案》(HIPAA) 以及《萨班斯-奥克斯利法案》(SOX) 只是组织可能需要考虑的部分标准。
虽然 SIEM 系统已成为通用的安全管理自动化工具,但其初衷是跟踪安全数据以满足合规管理要求。自动报告功能有助于减少监管合规管理所需的资源,并降低人为错误的风险。
归档工具还能汇总数据,以便 AI 和 ML 工具执行基于异常情况的威胁检测。例如,在数据泄露期间,SIEM 可能会记录用户、时间和 IP 地址等信息,并将其存入数据湖以供后续分析。然后,这些信息可用于完善现有的检测规则或实施新的规则。
审计就绪度较高的组织正积极推行策略即代码模式,将合规管理规则转化为自动化防护措施。借助这种方法,以代码形式编写、部署和管理的策略有助于确保基础设施始终处于默认合规状态,并提供策略执行的版本控制审计跟踪记录。
安全管理自动化措施有助于将威胁搜寻从耗时的手动流程转变为持续且可扩展的运营流程。自动化工具能够持续分析数百万事件,并标记需要人工干预的异常情况,而无需安全分析师手动审查数十个系统的日志。
例如,NDR 可以比对当前网络行为与历史模式,并识别可能预示高级持续性威胁的细微偏差。这一比对操作可以将调查时间从几天缩短到几小时。安全管理自动化工具还可以通过自动分配工作量并确保安全管理团队成员腾出时间亲自调查网络威胁,增强 SOC 的威胁搜寻能力。
漏洞管理(即不断发现和解决组织基础设施中安全漏洞的流程)可以从自动化中获益。
漏洞扫描程序软件可自动评估安全系统是否存在缺陷或弱点。扫描程序通常与 SIEM 和 EDR 等安全自动化工具集成,以确定修复的优先级。
例如,当扫描程序识别出未知设备正在访问内网时,它就能将该信息传递给 EDR;EDR 则会执行运行手册,在身份验证之前断开设备连接。
许多平台会自动下载并测试补丁。虽然 EDR 平台会自动部署新的补丁,但统一终端管理 (UEM) 系统可确保这些补丁送达用户设备并完成安装。
自动化通过为威胁和漏洞分配数值来增强风险评分。
SIEM 可收集大量数据,并利用机器学习算法帮助安全管理团队识别与漏洞关联最紧密的事件,从而确定风险评分。这些评分可以集成至 SOAR 仪表板,以帮助工具和用户确定威胁的优先级。
风险评分是自动化发挥辅助作用,而非完全替代固有体系的典型案例。为了确保评分与组织的安全管理优先事项相契合,人工判断是决策过程中必不可少的一环。