通过安全自动化最大化您的投资

让我们面对现实，多年来我们一直在谈论安全自动化。我们已经解决了自动化的内容、时间和方式。我们讨论了人与机器的话题。在某些时候，当我们被“烧毁”（错误地自动关闭系统）时，我们想知道是否有任何地方可以实现自动化。但在我们的内心深处，多年来我们都知道自动化是未来。现在未来已来。

ThreatQuotient 的 Noor Boulos 表示，虽然大多数组织至少对关键安全和事件响应 (IR) 流程的自动化程度最低，但 2020 年的事件是一个转折点 .新的 SANS 报告讨论了全球大流行如何迫使许多组织加快自动化计划，他们在哪些方面优先投资以及他们对未来的计划。该调查涵盖了各种规模的公司，代表了不同的行业组合，业务遍及北美、欧洲、亚太和非洲。

一些主要发现包括：

• 近三分之一的组织表示，由于 COVID-19 大流行，他们加快了自动化计划。

• 超过 80% 的组织至少实现了关键安全和 IR 流程的部分自动化，高于 2020 年的 47%。

• 深入挖掘，IR 流程的自动化增长最为显着，广泛的自动化增长了近 18%，从 2020 年的 10.5% 跃升至 2021 年的 28.3%。

• 安全运营和事件或警报处理仍然是自动化的首要领域，有 35.5% 的受访者报告了广泛的自动化。

• 安全自动化的前景一片光明，85% 的人计划在未来 12 个月内实现关键安全和 IR 流程的自动化。

当您展望未来并使用这些调查结果来帮助更好地了解如何在安全运营中扩展自动化的使用时，重要的是要考虑何时在安全生命周期内应用自动化以最大化业务价值。

在 ThreatQuotient，我们一直认为数据是检测和响应自动化的命脉，因此有效自动化的关键始于数据。让我们以报告中的两个主要用例“警报分类”和“事件响应”为例。

警报分类：

分析人员被大量需要人工关注的警报所淹没，这些警报是由嘈杂的 SIEM 规则和默认防御基础设施生成的。为了减少他们每天必须处理的安全警报的数量和速度，分析师将外部威胁数据和威胁情报源直接应用到 SIEM，但由于两个主要原因，挑战仍在继续。

首先，外部威胁数据的数量惊人。将所有这些数据直接发送到 SIEM 进行关联会导致大量非上下文警报，每个警报都需要分析师进行大量工作来研究。其次，在将威胁情报源直接应用到 SIEM 之前，当前工具缺乏决策支持功能来提供额外的上下文和理解以确定相关性。在警报分类过程中，必须优先考虑并确定下一步要采取的适当行动。

使用 ThreatQ 平台，您可以通过仅提供与组织相关的威胁情报来解决警报分类挑战并在无用警报发生之前阻止它们。通过在将威胁数据应用于 SIEM 之前自动将上下文、相关性和优先级应用于威胁数据，SIEM 变得更加高效和有效。

根据您设置的参数和上下文定制的威胁情报评分，允许根据与您的特定环境相关的内容确定优先级。现在，使用已编入威胁情报的威胁数据子集，额外的叠加层允许 SIEM 生成更少的误报并遇到更少的可扩展性问题。

事件响应：

当前的安全编排、自动化和响应 (SOAR) 方法侧重于流程自动化。挑战在于，当应用于检测和响应时，以流程为中心的剧本本质上效率低下且复杂，因为决策标准和逻辑已内置于剧本中，并且需要在每个剧本中进行更新。随着剧本数量的增加，这种复杂性呈指数增长。自动化和编排嘈杂的数据只会放大噪音。

借助 ThreatQ TDR Orchestrator，您可以采用简化的、数据驱动的方法来实现 SOAR，其中数据或信息驱动剧本启动，而通过采取的行动学习的数据用于分析和改进未来的响应。将“智能融入平台”而不是单独的剧本提供了更简单的配置和维护，以及更高效和有效的自动化结果。用户可以预先整理数据并确定其优先级，自动化相关内容并简化所采取的行动。

作者是 ThreatQuotient 的 Noor Boulos