Kas ir organizācijas drošības automatizācija?
Rīki, process un labākā prakse
Automatizācijai mūsdienās ir liels potenciāls, lai mazinātu daudzas fiziskās un kiberdrošības problēmas, piemēram, kvalificētu ekspertu un resursu trūkumu, pārāk daudz brīdinājumu, kas jārisina, kā arī ikdienišķu problēmu risināšanu. Būtībā drošības automatizācija attiecas uz tehnoloģiju izmantošanu, lai automatizētu drošības procesus.
Tomēr automatizācija nav bināra pieeja, bet drīzāk pakāpenisks ceļojums, kas organizācijām ir jāsāk līdzīgi kā cilvēkiem - sāc rāpot, tad iet un tikai tad skriet. Šo ceļojumu parasti veido pieci dažādi posmi: 0. posms - organizācijā viss notiek manuāli; 1.posms - automatizācija notiek tikai dažos posmos/ procesos; 2. posms - organizācija ir apņēmusies automatizēt un izmanto rīkus, lai palielinātu cilvēku efektivitāti problēmu risināšanā; 3. posms - organizācija plaši izmanto rīkus, lai veiktu darbības, tomēr lēmumus joprojām pieņem cilvēki; 4. posms - organizācija izmanto rīkus, lai pieņemtu lēmumus un veiktu ar šiem lēmumiem saistītās darbības, cilveks tiek piesaistīts tikai, lai pārliecinātos, ka viss norit atbilstoši gaidītajam un 5. posms - absolūta autonomija, kad darbību veic rīki, un cilvēki var pat nezināt, ka tiek pieņemti lēmumi vai veiktas darbības, līdz brīdim, kad rīki sniedz ziņojumu. Pat precīzu regulēšanu un pielāgošanu veic rīki rīkiem, kas paredzēti rīkiem.
Lai gan mēs esam novērojuši, ka pirmajās trīs fāzēs organizācijas darbojas pilnā apjomā, dažas pārdomātas organizācijas tagad gūst panākumus, cenšoties sasniegt jau ceturto līmeni. Tomēr piektais līmenis, nu... par to ir jāspriež katram pašam, cik reāli tas ir - realizējas tuvākajā nākotnē vai tomēr, tā aizvien ir zinātniskās fantastikas līmenī.
Šajā rakstā lasiet:
Kas ir drošības automatizācija?
Drošības automatizācijas nepieciešamība
Automatizēt procesus vai tomēr nē?
Drošības automatizācijas priekšrocības
Biežāk sastopamie drošības automatizācijas lietošanas gadījumi un piemēri
Automātiska galapunktu skenēšana
Automātiska testēšanas koda ģenerēšana
Drošības automatizācijas noteikumu atjauninājumi jaunām vidēm
Drošības automatizācijas rīku veidi
Robotizētā procesu automatizācija (RPA)
Drošības orķestrācija, automatizācija un reaģēšana (SOAR)
XDR
Raksturīgākais drošības automatizācijas process
Drošības automatizācijas paraugprakse.
Kas ir organizācijas drošības automatizācija?
Drošības automatizācija ir uz mašīnām balstīta drošības darbību izpilde, kas var atklāt, izmeklēt un novērst kiberdraudus ar vai bez cilvēka iejaukšanās. Drošības automatizācijai ir potenciāls identificēt ienākošos draudus, šķirot un noteikt prioritātes brīdinājumiem, kad tie parādās, un veikt automatizētu reaģēšanu uz incidentiem. Drošības automatizācijas rīku veiktās darbības ietver:
draudu atklāšanu IT vidē;
potenciālo draudu šķirošanu, ievērojot to pašu darba plūsmu, ko drošības analītiķi izmanto, lai izmeklētu un klasificētu notikumus;
lemšanu par vispiemērotāko rīcību, lai ierobežotu vai mazinātu apdraudējumu;
draudu mazināšanas darbības izpildījumu.
Tomēr tāpat kā jebkurš vērtīgs ieguldījums, arī automatizācija nav bez maksas. Tā prasa:
rūpīgu domāšanu un plānošanu;
rūpīgi dokumentētus procesus;
automatizācijas sākotnēju iestatīšanu;
būšanu nepārtrauktā uzlabošanas un modifikāciju fāzē, lai pielāgotos paredzamajām vides un procesu izmaiņām;
attiecīgus rīkus un divvirzienu integrāciju starp šiem rīkiem.
Drošības automatizācijas nepieciešamība kiberdrošībai
Uzņēmumiem ir nepieciešams pietiekami daudz darbinieku, lai pieņemtu pareizos lēmumus par drošību, taču ir daudz citu uzdevumu, kurus datori var paveikt ātrāk. Pareizas automatizācijas sekas ietver (bet ne tikai) ātrāku un drošāku izvietošanu, ilgāku darbspējas laiku un labāku resursu pārvaldību. Šie uzlabojumi dod drošības jomā iesaistītajiem vairāk laika, lai pieņemtu labākus lēmumus. Lēmumiem ir jābūt labiem, jo automatizācija tikai paātrina lēmuma pieņemšanu - slikts automatizēts lēmums kļūst tikai par vēl ātrāku sliktu lēmumu.
"Nulles uzticēšanās" ir drošības koncepcija, kas palīdz pārvaldīt pieaugošo kiberdrošības draudu skaitu un sarežģītību.
Tai nepieciešams detalizēts piekļuves apstiprinājums un noraidījums, pamatojoties uz lomām balstītām piekļuves kontroles (role-based access control - RBAC) politikām, tādējādi novēršot netiešu uzticēšanos aizsargājamā tīklā. Tomēr šī detalizētā drošība rada papildu izmaksas, tāpēc drošības automatizācija ir būtiska, lai izveidotu mērogojamu un drošu "nulles uzticamības" stratēģiju. Drošības automatizācija palīdz mazināt dažādus drošības komandu noslogojumus. Jo īpaši var automatizēt ikdienišķus, atkārtotus drošības uzdevumus, lai samazinātu slogu iekšējiem kiberdrošības ekspertiem. Tas var paātrināt projektus un racionalizēt drošību, lai komanda varētu koncentrēties tikai uz augstas prioritātes apdraudējumiem. Automatizācija arī palīdz nodrošināt uzticību jūsu drošības stāvoklim, jo tā samazina iespējamību, ka cilvēciskas kļūdas dēļ netiks pamanīti potenciālie draudi.
Vēl viens svarīgs iemesls drošības uzdevumu automatizācijai ir nodrošināt atbilstību kiberdrošības noteikumiem un nozares standartiem. Drošības atbilstības prasību un individuālo sertifikātu pārvaldība ir sarežģīts process, īpaši ņemot vērā mainīgās nozares un juridiskās prasības. Automatizācija atvieglo atbilstības un sertifikācijas līmeņu uzturēšanu.
Daži no sākotnējiem jautājumiem domāšanas un plānošanas posmā ir šādi:
Ko mēs automatizēsim (visu SOC (Security Operation Centre)), tikai dažus brīdinājumus, izmeklēšanas termiņus utt.) - kāda ir automatizācijas darbības joma?
Kad mēs izmantosim automatizētu risinājumu - kādi ir automatizācijas iedarbināšanas punkti?
Kas pieņems lēmumu par to, ka jāveic automatizēta risināšana - konkrēti, vai lēmumus pieņems cilvēki vai rīki?
Kā procesi tiks automatizēti - konkrēti, vai automatizācija tiks veikta, izmantojot statiskas atskaņošanas rokasgrāmatas* jeb playbooks vai citus līdzekļus?
Kādas ir atgriezeniskās saites cilpas un nepārtrauktas uzlabošanas procesi - kāds ir automatizācijas dzīves cikls?
Kāda ir atbildības piešķiršanas matrica - kāda ir atbildīgo, pakļauto, konsultēto, informēto matrica?
Automatizēt procesus vai tomēr nē?
Automatizācijai ir vislielākā jēga, ja vide ir diezgan stabila, dažas situācijas atkārtojas un problēmas vienmēr tiek risinātas vienādi. Automatizācijas iespēja ir atrisināt vienu reizi un izmantot tehnoloģiju, lai atkārtotu daudzas. Šādā gadījumā parasti ir skaidra ieguldījumu atdeve (return on investment - ROI), lai iesaistītos automatizācijas braucienā.
No otras puses, ja vide vai procesi bieži mainās, katra situācija ir unikāla, risinājuma darbplūsmas ir pilnas ar izņēmumiem vai atbilde uz jautājumu "Kā mēs to atrisinām" ir "Tas tiešām ir atkarīgs", tad automatizācijai var nebūt tik lielas jēgas. Un atkal - kamēr procesi nav pienācīgi dokumentēti, organizācija vēl nav gatava automatizācijai.
Drošības automatizācijas priekšrocības
Drošības automatizācijai var būt ievērojamas priekšrocības Drošības operāciju centrā (SOC):
Ātrāka draudu atklāšana - SOC analītiķi ir pārslogoti ar drošības brīdinājumiem un nespēj padziļināti izpētīt visus drošības incidentus. Automatizācija var palīdzēt automātiski šķirot brīdinājumus un identificēt reālus incidentus, ļaujot analītiķiem ātrāk identificēt draudus.
Ātrāka ierobežošana un seku mazināšana - automatizēti rīki var nekavējoties izpildīt drošības instrukcijas, reaģējot uz noteikta veida incidentiem. Tas nozīmē, ka apdraudējumus var ierobežot vai pat pilnībā likvidēt bez cilvēka iejaukšanās.
Uzlabotaproduktivitāte - SOC izjūt hronisku prasmju trūkumu, un analītiķi ir pārslogoti. Nododot manuālos uzdevumus automatizētiem procesiem, drošības analītiķi var koncentrēties uz vērtīgākām darbībām un uzlabot produktivitāti. Automatizācija arī dod iespēju 1. līmeņa darbiniekiem strādāt ar plašāku uzdevumu klāstu, nenododot tos kvalificētākiem analītiķiem.
Drošības procesu standartizācija - drošības automatizācijas un atskaņošanas grāmatu ieviešanai nepieciešama standarta drošības rīku un procesu standartizācija visā organizācijā. Tas ne tikai atvieglo automātiskos procesus, bet arī palīdz skaidri definēt manuālos procesus un nodrošināt to konsekventu piemērošanu visā organizācijā.
Biežāk sastopamie drošības automatizācijas lietošanas gadījumi un piemēri
Automātiska galapunktu skenēšanaGalapunktu skenēšanas veikšana ir labākā prakse, kad rodas potenciāli drošības incidenti. Šie skenēšanas pasākumi pārbauda skartos galapunktus, lai noteiktu, vai ir noticis pārkāpums un kāds ir tā apjoms. Pēc tam komanda var izolēt visus apdraudētos īpašniekus (the compromised hosts) no pārējā tīkla. Tomēr tradicionālā skenēšana ir lēna un prasa vairāku ieinteresēto personu ieguldījumu.
Automatizācija padara galapunktu skenēšanu efektīvāku, jo īpaši attiecībā uz vairākiem resursdatoriem, kurus skenēt, izmantojot tradicionālās manuālās metodes, var būt sarežģīti.
Tā samazina manuālo darbu, kas nepieciešams, lai veiktu skenēšanu individuāli. Automatizēti skeneri arī novērš nepieciešamību rakstīt kodu, kas skenēšanas rīkiem norāda, kad skenēšana jāveic.
Automātiska skenēšanas konfigurēšana un iedarbināšana ļauj komandām daudz ātrāk atrast galapunktu drošības problēmas, piemēram, ja komandai ir aizdomas par ļaunprātīgu programmatūru konkrēta lietotāja datorā, tā var pieprasīt automātisku šī lietotāja galapunktu skenēšanu, nevis paļauties uz izstrādes komandas veikto skenēšanas konfigurēšanu.
Automātiska testēšanas koda ģenerēšana
Testēšanas fāzē tradicionālajā CI/CD cauruļvadā (CI/CD cauruļvadi ir prakse, kas vērsta uz programmatūras piegādes uzlabošanu visā programmatūras izstrādes dzīves ciklā, izmantojot automatizāciju) parasti galvenā uzmanība tiek pievērsta lietojumprogrammu uzticamības un veiktspējas testēšanai, nevis drošībai. Tas nav tāpēc, ka programmatūras inženieriem nerūp drošība, bet gan tāpēc, ka inženieru komandā reti ir pieredzējuši drošības inženieri. Kods, kas automatizē drošības testēšanu pirms izvietošanas, ir laikietilpīgs un bieži vien mazāk steidzams nekā veiktspējas testēšana.
Šajā kontekstā automātiska drošības testu koda ģenerēšana palīdz integrēt drošību CI/CD procesā, samazinot drošības testēšanas koda izveides sarežģītību. Testu inženieru komanda var norādīt drošības riskus, kas jāietver testos, piemēram, injekcijas ievainojamības. Pēc tam viņi var izmantot automātiski ģenerēto kodu, lai palaistu šos testus, tādējādi ievērojami atvieglojot CI/CD drošības testēšanu.
Drošības automatizācijas noteikumu atjauninājumi jaunām vidēm.
Iespējams, jūsu organizācijā jau ir izveidotas drošības noteikumu konfigurācijas, kuras, pārejot uz jaunu vidi (t. i., no viena mākoņpakalpojumu sniedzēja uz citu vai no virtuālajām mašīnām uz konteineriem), būtu jāpārraksta. Parasti izstrādātājiem un drošības analītiķiem ir jāsadarbojas, lai atjauninātu drošības automatizācijas noteikumus jaunajai videi - tas ir garlaicīgs un sarežģīts process.
Kā alternatīvu var izmantot drošības automatizācijas rīku, kas automātiski ģenerē drošības kodu, tādējādi samazinot nepieciešamību rakstīt kodu manuāli. Iespējams, ka komandai joprojām būs nepieciešams pielāgot kodutaču automatizētajiem koda atjauninājumiem vajadzētu veikt lielāko daļu no smagā darba, lai nodrošinātu jauno iestatījumu drošību.
Drošības automatizācijas rīku veidi
Turpmāk uzskaitītas trīs rīku kategorijas, kas var palīdzēt automatizēt drošības procesus.
Robotizēta procesu automatizācija (RPA)
Ar RPA tehnoloģiju var automatizēt zema līmeņa procesus, kuriem nav nepieciešama inteliģenta analīze. RPA pakalpojumi parasti izmanto programmatūras "robota" koncepciju, kas izmanto peles un tastatūras komandas, lai automatizētu darbības virtualizētā datorsistēmā.
Ievainojamību skenēšana
Uzraudzības rīku palaišana un rezultātu saglabāšana
Pamata draudu mazināšana - piemēram, pievienojot ugunsmūra noteikumu, lai bloķētu ļaunprātīgu IP.
RPA trūkums ir tas, ka tā veic tikai elementārus uzdevumus. Tā nav integrējama ar drošības rīkiem un nevar izmantot sarežģītu argumentāciju vai analīzi, lai vadītu tās darbības.
Drošības orķestrācija, automatizācija un reaģēšana (SOAR - Security Orchastration, Automation and Response)
SOAR sistēmas ir risinājumu kopums, kas ļauj organizācijām vākt datus par drošības apdraudējumiem un reaģēt uz drošības incidentiem bez cilvēku palīdzības. Šo kategoriju definēja Gartner, un tā attiecas uz jebkuru rīku, kas var palīdzēt definēt, noteikt prioritātes, standartizēt un automatizēt reaģēšanas uz incidentiem funkcijas.
SOAR platformas spēj organizēt operācijas ar vairākiem drošības rīkiem. Tās atbalsta automatizētas drošības darba plūsmas, politikas izpildi un ziņojumu automatizāciju, un tās parasti izmanto automatizētai ievainojamību pārvaldībai un novēršanai.
XDR
Paplašinātā atklāšana un reaģēšana jeb eXtended Detection and Response (XDR) risinājumi ir galapunktu atklāšanas un reaģēšanas (EDR) un tīkla atklāšanas un reaģēšanas (NDR) risinājumi. Tie konsolidē datus no visas drošības vides, tostarp no galapunktiem, tīkliem un mākoņsistēmām, ļaujot identificēt izvairoties no uzbrukumiem, kas slēpjas starp drošības slāņiem un silosiem.
XDR var automātiski apkopot telemetrijas datus uzbrukuma stāstā, sniedzot analītiķiem visu nepieciešamo, lai izmeklētu un reaģētu uz incidentu. To var arī tieši integrēt ar drošības rīkiem, lai izpildītu automatizētas atbildes, padarot to par visaptverošu automatizācijas platformu incidentu izmeklēšanai un reaģēšanai.
XDR automatizācijas iespējas ietver:
Uz mašīnmācīšanos balstīta atklāšana - ietver uzraudzītas un daļēji uzraudzītas metodes, lai identificētu nulles dienas un netradicionālus draudus, pamatojoties uz uzvedības pamatlīnijām, tostarp draudus, kas jau ir pārkāpuši drošības perimetru.
Saistītu brīdinājumu un datu korelācija - automātiski grupē saistītus brīdinājumus, veido uzbrukumu grafikus un izseko notikumu ķēdes, lai noteiktu pamatcēloņus.
Centralizēta lietotāja saskarne (UI) - viena saskarne brīdinājumu pārskatīšanai, padziļinātai kriminālistiskai izmeklēšanai un automatizētu darbību pārvaldībai, lai reaģētu uz draudiem.
Reaģēšanas / Atbildes orķestrācija - ļauj manuāli reaģēt, izmantojot analītiķa lietotāja saskarni, kā arī automatizēti reaģēt, izmantojot bagātīgu API integrāciju ar vairākiem drošības rīkiem.
Uzlabojumi laika gaitā - XDR mašīnmācīšanās algoritmi laika gaitā kļūst efektīvāki, lai atklātu plašāku uzbrukumu klāstu.
Raksturīgākais drošības automatizācijas process
Lai gan dažādi drošības rīki darbojas dažādos veidos, šeit ir aprakstīts tipisks automatizētas drošības sistēmas darbības process. Daudzos gadījumos automatizētā drošības sistēma veiks tikai vienu vai vairākus no šiem soļiem, bet pārējos veiks cilvēks - analītiķis:
Cilvēku drošības analītiķu izmeklēšanas darbību atdarināšana - saņemt brīdinājumus no drošības rīkiem, salīdzināt tos ar citiem datiem vai draudu izlūkdatiem un izlemt, vai brīdinājums ir vai nav īsts drošības incidents.
Reaģējošas rīcības noteikšana - identificēt, kāda veida drošības incidents notiek, un izvēlēties vispiemērotāko automatizēto procesu vai drošības pasākumu rokasgrāmatu.
Ierobežošana un izskaušana - automatizētu darbību veikšana, izmantojot drošības rīkus vai citas IT sistēmas, lai nodrošinātu, ka apdraudējums nevar izplatīties vai nodarīt lielāku kaitējumu, un, ideālā gadījumā, lai to izskaustu no skartajām sistēmām. Piemēram, pirmajā posmā automatizācija var izolēt inficēto sistēmu no tīkla, bet otrajā posmā to izdzēst un atkārtoti atjaunot.
Slēgt biļeti vai eskalēt - automatizētās sistēmas var izmantot noteikumus, lai saprastu, vai automatizētās darbības ir bijušas veiksmīgas draudu mazināšanā vai arī ir nepieciešamas turpmākas darbības. Šādā gadījumā tās var integrēt ar zvanīšanas vai dežūru plānošanas sistēmām, lai brīdinātu analītiķus, sniedzot konkrētu informāciju par notiekošo incidentu. Ja turpmāka rīcība nav nepieciešama, automatizācija var slēgt biļeti, sniedzot pilnīgu ziņojumu par atklātajiem draudiem un veiktajām darbībām.
Drošības automatizācijas paraugprakse
Gatavojoties ieviest drošības automatizācijas tehnoloģiju savā organizācijā, šeit ir daži labākie ieteikumi, kas var palīdzēt to izmantot pēc iespējas labāk.
Automatizācijas prioritāšu noteikšana. Identificējiet visbiežāk sastopamos drošības notikumus un tos, kuru izmeklēšana un risināšana aizņem visilgāk. Pēc tam definējiet izmantošanas gadījumus un izveidojiet sarakstu, kā drošības automatizācija var palīdzēt, pamatojoties uz organizācijas mērķiem.
Sāciet ar manuālām mācību grāmatām. Sāciet ar manuālajām instrukcijām, kurās dokumentēti soļi, procesi un labākā prakse, ko jūsu komandas šodien izmanto, lai efektīvi risinātu incidentu. Nodrošiniet, ka komandas ievēro konsekventu un atkārtojamu procesu, kad vien notiek incidents. Pēc tam identificējiet laikietilpīgākos, visbiežāk atkārtojošos procesus un izmantojiet tos, lai definētu pirmās automatizētās atskaņošanas rokasgrāmatas* jeb playbooks.
Automatizācijas pakāpeniska ieviešana. Kad esat apzinājis visus drošības uzdevumus, kurus varat automatizēt, apzinieties, ka nevarat automatizēt visus uzreiz. Sāciet ar tiem uzdevumiem, kuru automatizācija ir visizdevīgākā, kuriem ir lielas izredzes gūt panākumus vai kuri var dot tūlītēju labumu. Pieņemot neliela mēroga automatizāciju, varat uzraudzīt savu progresu, apskatīt rezultātus un vajadzības gadījumā veikt korekcijas.
Ieguldiet apmācībā. Jums būs jāizglīto darbinieki, kā efektīvi izmantot automatizācijas rīkus. Apmācībās uzmanība jāpievērš ne tikai tam, kā iestatīt un izmantot automatizētos procesus. Definējiet, ar kuriem procesu un darbību veidiem būtu jānodarbojas cilvēku operatoriem un kā nepieciešamības gadījumā bez sarežģījumiem eskalēt mācības cilvēkam analītiķim. Pārliecinieties, ka analītiķi zina, kā saņemt uzdevumus no automatizētajām drošības sistēmām, saprot saņemtos datus un var netraucēti turpināt incidenta apstrādi.
Secinājumi
Drošības automatizācija ir tēma, kas ir visu drošības profesionāļu uzmanības centrā, un tas ir pamatoti.
Lai gan organizācijām nevajadzētu novērtēt par zemu grūtības, kas saistītas ar stabilas automatizācijas izveidošanu, ieguvumi bieži vien ir to vērti, ja vien organizācijas saprot, ka virzība uz automatizācijas palielināšanu ir jāveic uzmanīgi un apzināti, izmantojot pakāpenisku pieeju. Un, lai gan pirmās ieviešanas un citi eksperimenti ir ļoti iepriecinoši, patiesībā mēs joprojām esam šīs disciplīnas sākumposmā, neraugoties uz visu pārdevēju mārketingu.
