作为 Guru 的风险与合规官,我花时间管理我们发布的标准和控制(我们需要做的安全工作),但我也密切关注自动化和知识管理如何实现“战术安全”。这种实践的行业术语是“安全编排、自动化和响应”( SOAR ),但自动化本身并不总是能带来成功的结果。
例如,2013 年塔吉特 (Target) 商店遭受了著名的黑客攻击,网络攻击之所以奏效,部分原因是安全人员忽视了隐藏在安全传感器反馈信息中的机器警报。这次泄露最终使该公司损失了 3 亿美元,并为当太多输入导致混乱时可能出现的问题提供了警示。
当然,并非每一次错过的警报都会导致 Target 规模的违规行为。较小的攻击每天都会发生。事实上,根据泄露级别指数,每分钟有超过 4000 条敏感记录被泄露。为了领先于这些事件,组织通常采用“安全堆栈”来标记异常行为或可能对其网络的入侵。该堆栈由核心员工团队或完整的安全运营中心 (SOC) 监视,并且越来越多的这些团队正在 SOAR 应用程序的帮助下找出数字干扰并根据实际情况采取行动。新的 SOAR 供应商遍布整个市场,Gartner报告称 SOAR 领域有十几家独立公司。
安全.png
然而,这些精美的交钥匙 SOAR 应用 美国华人海外数据库包 程序 并不能自行创建和填充知识库,分析师可以在知识库中找到可操作、可重复的信息来解决其环境中的事件。这种操作实践要求 SOC 人员摆脱知识陷阱,并为更广泛的团队记录具体程序。
在 SOC 领域,文档编制尤其困难,因为速度限制了剧本和程序的创建和持续维护。但放弃这一步并不是一个选择。一位安全博主写道,“如果没有剧本,分析师往往会回归直觉——这可能对个人有效,但会让整个团队受到分析师头脑中存在的知识的摆布。”
那么,忙碌的证券分析师该怎么办呢?
安全,满足知识管理
答案来自于良好的老式知识管理,这不仅仅是繁忙的 SOC 中的一项额外职责,而且是一项基本技能。举例来说,NIST 网络安全劳动力框架将知识管理列为安全人员的核心专业知识。这包括熟练掌握内容创建、协作工具管理以及“识别、记录和访问智力资本和信息内容”的一般能力。
行业专家一致认为,知识库是 SOC 中的巨大力量倍增器。 Mike Fowler在他的文章“通过知识转移提升 SOC IQ 水平”中提出了每个人都可以访问并轻松维护的内容存储的具体要求:
“使用集中式数据库和结构化手册实施自动化方法将确保知识转移过程可重复、可防御且一致。”
SOAR 和剧本如何结合在一起的一个例子可能是机器警报告诉安全人员大量数据正在离开组织,流入未知站点。分析师或专门的响应人员根据警报采取行动,并阻止该网站接收任何其他公司数据,但这只是一系列人类行动的第一步,以了解事件的广度并评估影响。该剧本可能会说,“查找下载站点的服务器地址和域”,然后是“搜索网络日志并找到该服务器之前的任何下载”。
通过执行这些行动,事件响应最终将如何、什么、何时、何地的难题拼凑起来,以便管理层可以得到通知并采取相应的行动(这可能会提示其自己的剧本)。
为什么知识管理应该成为安全堆栈的一部分
尽管当今的 SOAR 工具可以帮助找出威胁指标并将其提供给人类分析师,但通常情况下,工具本身不足以响应事件并跟踪解决方案。
正确的安全分析、预防和响应仍然取决于人和知识共享的永恒操作艺术。
安保人员数量太少,而且时间有限,无法即兴应对每起新事件。易于访问、更新、可重复的行动手册是在始终可能受到攻击的环境中更智能地工作的基石。
要了解 Guru 的安全团队如何使用 Guru 进行安全知识管理,请查看我的博客文章补充收入团队:Guru 如何使所有团队受益,包括安全团队。
