UiPath 如何自动化网络安全操作以实现更智能的威胁防御

在为来年制定计划时，首席信息官 (CIO) 正在优先考虑网络安全，以保护其组织免受日益复杂的威胁。

Foundry 的《2022 年 CIO 状况研究》报告称，“在接下来的一年中，CIO 将把时间和专业知识集中在安全管理上。76% 的人预计他们在明年会增加对网络安全的参与，51% 的人表示他们目前的工作重点是安全管理。”疫情期间远程工作能力的增强和数字解决方案的普及，给安全团队带来了更多的网络安全问题。

安全专业人员目前可能使用各种人工智能 (AI) 应用程序进行 IT 运营 (AIOps) 和安全运营 (SecOps) 工具，以持续改善其组织的安全状况。但是，这些工具无法实现端到端安全操作自动化。在任何一天，网络安全工程师可能会花费大量时间：

• 为基础设施/环境的所有领域定义和执行安全规则和策略

• 扫描威胁、监控漏洞并缓解攻击

• 执行持续的安全审核并跟踪对关键资源的访问控制

警报疲劳仍然是一个问题

一个团队只能处理这么多警报，否则就会被错过。

一项调查发现，“超过三分之一的 IT 安全经理和安全分析师在队列已满时忽略威胁警报。”

通过 IT 自动化活动，UiPath 提供易于使用、与供应商无关的强大安全运营功能。本文将解释这些功能以及它们如何实现全面的安全编排、自动化和响应 (SOAR)。

身份生命周期

在大多数公司中，IT 分析师管理用户配置文件、角色和员工访问控制。他们的一些活动可能包括用户配置、添加/删除应用程序访问权限、重置用户密码以及解锁用户帐户。

UiPath 具有用户界面 (UI) 自动化和 API 与主要身份访问管理 (IAM) 工具（例如 Microsoft Azure AD）的集成，以自动执行上述身份管理活动。

结合扩展到服务管理领域的 UI 和 API 功能，UiPath 机器人还可以监控 IT 服务管理 (ITSM) 票证。机器人可以根据定义的触发器启动作业，执行必要的用户管理操作，更新ITSM票证，并通知用户解决方案。

这些机器人可以与聊天机器人和 Slack 等通信平台集成，为员工提供对话式实时体验。下图解释了用户管理的流程：

UiPath使用UiPath吗？

绝对！我们在内部自动化了上段中描述的流程。

通过自动化用户管理活动，我们的 ITOps 团队能够将工作量减少 15% 以上。此外，ITSM 票证的平均处理时间从每张票证的两小时缩短到每张票证的两分钟。这意味着解决问题单所花费的时间减少了 98%，从而使团队能够腾出时间来执行更复杂的任务。

我们还有一个与 Slack 集成的 IT 服务台聊天机器人。该聊天机器人为员工提供零人际接触的对话体验，并在几分钟内解决用户和许可证管理活动，而无需与服务台工作人员互动。

威胁检测和预防

安全专业人员的另一个重点是检测和预防活动。根据 IBM 最近的一项研究，“拥有‘完全部署’安全自动化策略的组织的平均违规成本为 290 万美元，而那些没有自动化的组织的成本是该成本的两倍多，达到 671 万美元。”

UiPath扩展了现有安全运维工具的安全自动化能力。使用事件驱动的自动化功能，可以从端点检测和响应（EDR）、扩展检测和响应（XDR）、安全信息和事件管理（SIEM）或其他安全监控工具触发UiPath机器人来执行修复操作。

当安全监控工具识别出妥协指标 (IoC) 时，由于缺少 API 集成或路由问题，这些工具可能无法对防火墙等网络系统执行操作。在这些情况下，安全分析师需要手动执行操作，例如在防火墙系统中阻止 IP 地址。

同样，安全分析器可以执行防火墙规则评估，但无法禁用或删除防火墙或网络地址转换 (NAT) 规则和 NAT 对象。由于我们与供应商无关的自动化能力，UiPath 机器人可以使用任何产品的 UI 和 API 功能执行这些手动操作。 

电子邮件网络钓鱼怎么样？

我们的机器人可以自动隔离电子邮件线程并触发补救措施。可以使用 UiPath 自动化的一些威胁检测和预防领域包括：

• 检测控制

• 潜在威胁分类

• 自动修复

• 漏洞管理

• 端点保护

我们在内部使用此类自动化来管理从 Azure 安全编排等来源生成的暴力攻击警报。我们每年还使用自己的自动化技术阻止超过 20,000 次暴力攻击。

UiPath 可以帮助自动化涉及多个系统的流程。例如，在下面的演示视频中，UiPath 针对顶级系统漏洞开具了票证。该机器人利用四个企业系统（Tableau、Tenable、ServiceNow 和 SharePoint）来完成该流程。

事件响应

即使是检测和预防安全威胁的最佳组织工具也并非万无一失。安全事件频繁发生，事件响应管理才是对安全团队稳健性的真正考验。

如果发生任何违规行为，时机至关重要。上述 IBM 研究证实，对事件响应活动的投资可以降低违规成本，并表示“拥有事件响应团队并测试其事件响应计划的公司，其平均违规成本为 325 万美元，而那些没有到位的公司的平均成本为 571 万美元（差异为 54.9%）。”

以下是您的安全团队可以在事件响应过程中自动执行的一些活动：

• 删除或隔离可疑的恶意软件感染文件

• 对给定 IP 地址执行地理位置查找

• 搜索特定端点上的文件

• 在外围设备上阻止 URL

• 从网络中隔离设备

• 检索有关任何受感染用户的信息

这些活动有助于加速补救并标准化事件响应流程。

审计与合规性

所有组织都必须执行各种审计并确保遵守 SOX、HIPAA 和 GDPR 等行业标准。作为审计的一部分，团队需要收集证据、绘制信息并执行控制测试和评估。您可以通过以下方式自动化其中许多活动，尤其是与 IT 一般控制相关的活动：

• 按组、角色成员身份和资源所有权提取所有 AD 用户的列表

• 验证应用程序开发和部署过程中的职责分离

我们不仅帮助进行审计，我们的机器人还可以监控合规性需求。机器人无需等到年度审计活动，而是可以主动阻止任何控制故障并向相应的经理发出警报。

如果出现任何合规违规行为，UiPath Robot 可以自动通知您。例如，根据 HIPAA 合规性隐私规则，不允许或授权使用可以识别个人身份的健康信息（称为受保护的医疗保健信息）。这降低了因简单错误或疏忽而导致合规工作脱轨的风险。 

UiPath 自动化平台还有助于内部报告机制。利益相关者可以比以前更快、更轻松地收集必要的信息、生成综合报告并将这些文件分发给相关方。

我们在内部使用机器人通过多种自动化进行 SOX 合规性测试和证据收集，包括 2,000 多个许可证核对。我们还提供审计证据来评估 NetSuite 系统中记录的 1,000 多张发票的完整性、准确性和存在性。

安全激活包和产品合作伙伴关系

除了本机 UiPath UI 和 API 集成功能之外，我们还提供各种预构建的活动包和工作流程包，可帮助您快速启动安全操作自动化。这些拖放式、开箱即用的软件包易于理解和使用。

UiPath 还与 CyberArk、CrowdStrike 和 eSentire 等主要安全平台建立了战略合作伙伴关系。 UiPath 机器人可以与 CrowdStrike 原生集成，以通过 Falcon Insight 实现端点检测和响应。与 eSentire 集成可实现跨多个 Microsoft 安全服务的端到端安全策略自动化。

查看我们最近的博客文章和白皮书，了解 UiPath 如何实现其他 IT 领域（包括运营和开发）的自动化。