How Knowledge Management Makes Security SOAR
知識管理在安全編排、自動化和響應(SOAR)方面是一項基本技能。 閱讀為什麼適當的安全分析、預防和響應依賴於知識共享的操作藝術,以及我們的安全
作為 Guru 的風險和合規官,我花時間維護我們已發布的標準和控制(我們需要進行的安全措施),但我也留意自動化和知識管理如何促進“戰術安全”。 這項做法的行業術語是“安全編排、自動化和響應”(SOAR),但單靠自動化並不總能帶來成功的結果。
例如,當 Target 商店在2013 年遭到著名的資料外洩時,這次網路攻擊之所以成功,部分原因是安全人員忽視了一個機器警報,該警報被埋藏在他們安全傳感器反饋的嘈雜信息中。 這次資料外洩最終造成公司損失 3 億美元,並成為警示故事,告訴我們在輸入過多造成混亂時會發生什麼。
當然,不是每個未被警報所注意的事件都會導致像 Target 這樣的大規模資料外洩。 較小的攻擊每天都在發生。 事實上,根據資料外洩指數,每分鐘有超過四千條敏感記錄被洩露。 為了跟上這些事件,組織通常會採用“安全堆疊”來標示不尋常的行為或針對其網絡的入侵行為。 這個堆疊由一個核心人員團隊或完整的安全運營中心(SOC)進行監控,越來越多的這些團隊受益於 SOAR 應用程序,幫助他們篩選出數字雜質並針對真正的威脅採取行動。 新的 SOAR 廠商在市場上隨處可見,Gartner 報告指出 SOAR 領域有多達十幾家單獨的公司。
然而這些光鮮亮麗的即插即用 SOAR 應用程序不會自動創建和填充知識庫,讓分析人員可以在其中找到可操作的、可重複的信息來解決其環境中的事件。 這一操作實踐要求 SOC 人員擺脫知識陷阱,並為更大團隊記錄具體的程序。
在 SOC 環境中,文件編制特別困難,因為工作節奏限制了操作手冊和程序的創建及持續維護。 但忽視這一步驟並不是一個選擇。 一位安全博客作者寫道:“沒有操作手冊,分析人員往往根據直覺行事——這對個人可能有效,但卻使整個團隊面臨陷入僅依賴於該分析人員頭腦中的知識的風險。”
那麼,匆忙的安全分析人員該怎麼辦呢?
安全,遇見知識管理
答案來自於古老的知識管理,這不僅僅是繁忙的 SOC 中的一項附加任務,而是一項必要的技能。 例如,NIST 網絡安全人力資源框架列出了知識管理作為安全人員的一項核心專業能力。 這包括內容創建、協作工具管理以及一般能夠“識別、記錄和訪問知識資本和信息內容”的能力。
行業專家一致認為,在 SOC 中,知識庫是一個巨大的力量倍增器。 在他的文章《提高 SOC IQ 水平與知識轉移》中,Mike Fowler 指出需要一個可以讓所有人訪問和易於維護的內容存儲庫:
“通過使用集中數據庫和結構化操作手冊的自動化方法,可以確保知識轉移過程可重複、防禦且一致。”
SOAR 和操作手冊結合的一個例子可能是,當機器警報告訴安全人員有大量數據要離開組織,指向一個未知網站時。 分析人員或專職響應人員對這個警報採取行動,阻止該網站接收任何額外的公司數據,但這只是應對這一事件的一系列人類行為中的第一步,以來了解事件的廣度並評估其影響。 操作手冊可能會說:“查找下載網站的伺服器地址和域名”,接下來是“搜索網絡日誌並查找任何以前下載的該伺服器”。
通過執行這些行動,事件響應者最終將如何、什麼、何時和何地的謎題拼湊在一起,讓管理層可以被告知並相應行動(這也可能會引發其自己的操作手冊)。
為什麼知識管理應成為你的安全堆疊的一部分
雖然當今的 SOAR 工具可以幫助篩選威脅指標並提供給人類分析人員,但通常僅憑工具無法對事件做出反應並跟進解決。
適當的安全分析、預防和響應仍然依賴人員和永恆的知識共享操作藝術。
安全人員遠遠不夠且時間有限,無法在每一個新事件中隨便應對。 現成的、持續更新的、可重複的操作手冊是讓環境中更聰明運作的基礎,在這個環境中始終存在攻擊的潛在威脅。
要了解 Guru 的安全團隊如何使用 Guru 進行安全知識管理,請查看我的博客文章補充收入團隊:Guru 如何惠及所有團隊,包括安全團隊。
作為 Guru 的風險和合規官,我花時間維護我們已發布的標準和控制(我們需要進行的安全措施),但我也留意自動化和知識管理如何促進“戰術安全”。 這項做法的行業術語是“安全編排、自動化和響應”(SOAR),但單靠自動化並不總能帶來成功的結果。
例如,當 Target 商店在2013 年遭到著名的資料外洩時,這次網路攻擊之所以成功,部分原因是安全人員忽視了一個機器警報,該警報被埋藏在他們安全傳感器反饋的嘈雜信息中。 這次資料外洩最終造成公司損失 3 億美元,並成為警示故事,告訴我們在輸入過多造成混亂時會發生什麼。
當然,不是每個未被警報所注意的事件都會導致像 Target 這樣的大規模資料外洩。 較小的攻擊每天都在發生。 事實上,根據資料外洩指數,每分鐘有超過四千條敏感記錄被洩露。 為了跟上這些事件,組織通常會採用“安全堆疊”來標示不尋常的行為或針對其網絡的入侵行為。 這個堆疊由一個核心人員團隊或完整的安全運營中心(SOC)進行監控,越來越多的這些團隊受益於 SOAR 應用程序,幫助他們篩選出數字雜質並針對真正的威脅採取行動。 新的 SOAR 廠商在市場上隨處可見,Gartner 報告指出 SOAR 領域有多達十幾家單獨的公司。
然而這些光鮮亮麗的即插即用 SOAR 應用程序不會自動創建和填充知識庫,讓分析人員可以在其中找到可操作的、可重複的信息來解決其環境中的事件。 這一操作實踐要求 SOC 人員擺脫知識陷阱,並為更大團隊記錄具體的程序。
在 SOC 環境中,文件編制特別困難,因為工作節奏限制了操作手冊和程序的創建及持續維護。 但忽視這一步驟並不是一個選擇。 一位安全博客作者寫道:“沒有操作手冊,分析人員往往根據直覺行事——這對個人可能有效,但卻使整個團隊面臨陷入僅依賴於該分析人員頭腦中的知識的風險。”
那麼,匆忙的安全分析人員該怎麼辦呢?
安全,遇見知識管理
答案來自於古老的知識管理,這不僅僅是繁忙的 SOC 中的一項附加任務,而是一項必要的技能。 例如,NIST 網絡安全人力資源框架列出了知識管理作為安全人員的一項核心專業能力。 這包括內容創建、協作工具管理以及一般能夠“識別、記錄和訪問知識資本和信息內容”的能力。
行業專家一致認為,在 SOC 中,知識庫是一個巨大的力量倍增器。 在他的文章《提高 SOC IQ 水平與知識轉移》中,Mike Fowler 指出需要一個可以讓所有人訪問和易於維護的內容存儲庫:
“通過使用集中數據庫和結構化操作手冊的自動化方法,可以確保知識轉移過程可重複、防禦且一致。”
SOAR 和操作手冊結合的一個例子可能是,當機器警報告訴安全人員有大量數據要離開組織,指向一個未知網站時。 分析人員或專職響應人員對這個警報採取行動,阻止該網站接收任何額外的公司數據,但這只是應對這一事件的一系列人類行為中的第一步,以來了解事件的廣度並評估其影響。 操作手冊可能會說:“查找下載網站的伺服器地址和域名”,接下來是“搜索網絡日誌並查找任何以前下載的該伺服器”。
通過執行這些行動,事件響應者最終將如何、什麼、何時和何地的謎題拼湊在一起,讓管理層可以被告知並相應行動(這也可能會引發其自己的操作手冊)。
為什麼知識管理應成為你的安全堆疊的一部分
雖然當今的 SOAR 工具可以幫助篩選威脅指標並提供給人類分析人員,但通常僅憑工具無法對事件做出反應並跟進解決。
適當的安全分析、預防和響應仍然依賴人員和永恆的知識共享操作藝術。
安全人員遠遠不夠且時間有限,無法在每一個新事件中隨便應對。 現成的、持續更新的、可重複的操作手冊是讓環境中更聰明運作的基礎,在這個環境中始終存在攻擊的潛在威脅。
要了解 Guru 的安全團隊如何使用 Guru 進行安全知識管理,請查看我的博客文章補充收入團隊:Guru 如何惠及所有團隊,包括安全團隊。
體驗 Guru 平台強大功能 - 進行我們的互動式產品導覽
進行導覽
