Intelligente Automatisierung: Warum Sie es tun sollten
Willkommen zu einer kurzen Serie von Blogs über intelligente Automatisierung. Automatisierung ist zwar nicht neu - wir haben schließlich einen ganzen Gartner-Zyklus von SOAR-Tools hinter uns -, aber die Einsatzmöglichkeiten und Vorteile, die Sie damit erzielen können, haben ein neues Potenzial erreicht.
In diesem ersten Blog werden wir einige der traditionellen Verwendungsmöglichkeiten der Automatisierung in einem Sicherheitskontext betrachten, einige der Dinge, die Sie tun könnten und einige der Dinge, die Sie wirklich tun sollten.
Während der gesamten Serie wird das Thema‘Sichere Anweisung, sichere Ausführung und rasche Erstellung’. Es sind diese drei Faktoren, die genutzt werden müssen, um das volle Potenzial der Automatisierung auszuschöpfen.
Warum automatisieren
Warum sollten Sie also an einer Automatisierung interessiert sein? Die ersten beiden Gründe sind eng miteinander verbunden - Geschwindigkeit und Effizienz. Sich wiederholende und vorhersehbare Handlungen, die traditionell von menschlichen Analysten ausgeführt werden, eignen sich hervorragend für die Automatisierung durch Skripte oder SOAR-Tools. Diese Aufgaben werden dann schneller und effizienter als zuvor ausgeführt, so dass die Analysten mehr Zeit haben, die Feinheiten eines Vorfalls zu untersuchen.
Der nächste Grund ist die Verbesserung der Genauigkeit. Prozesse und Verfahren können zwar zu einer stärkeren Standardisierung unter den menschlichen Analytikern führen, aber echte Konsistenz und Genauigkeit erfordern Kodifizierung und Automatisierung.
Und nicht zuletzt können wir mit Hilfe der Automatisierung dazu beitragen, dass die psychisches Wohlbefinden unserer Mitarbeiter. Ontinue hat sich bereits früher zu den potenziell negativen Auswirkungen der stressigen, wenig wertvollen repetitiven Aufgaben geäußert, denen wir Nachwuchsanalysten aussetzen. Man mag argumentieren, dass durch die Automatisierung die Zahl der benötigten Mitarbeiter verringert werden könnte, was vielleicht stimmt, aber es ist wahrscheinlicher, dass sie mit wertvolleren und lohnenderen Aufgaben betraut werden als zuvor. Ich denke, das sind wir ihnen schuldig.
Was soll automatisiert werden?
Im Zusammenhang mit Sicherheitsoperationen ist einer der häufigsten Bereiche für die Anwendung von Automatisierung Anreicherung - die Praxis, zusätzlichen Kontext zur Unterstützung der maschinellen oder menschlichen Korrelation hinzuzuziehen. In der Regel werden die Entitäten eines Vorfalls nachgeschlagen (IP-Adressen, Hostnamen, Hash-Werte von Dateien zur Identifizierung von Malware usw.).
Der nächste potenzielle Bereich ist Reaktionsmaßnahmen. Obwohl dies einen großen Vorteil in Bezug auf die Reaktionszeit auf potenzielle Angriffe bringen kann, wurde dieser Bereich bisher nur mäßig genutzt. Die zurückhaltende Akzeptanz ist zu einem großen Teil auf die Nuancen zurückzuführen, die häufig mit Vorfällen einhergehen und die eine strukturierte (und damit codefähige) Festlegung schwierig machen. Zu den ersten zu automatisierenden Maßnahmen gehören das Zurücksetzen des Kennworts eines Benutzers, das Deaktivieren einer Benutzeranzahl, das Isolieren eines Geräts (in der Regel Endbenutzergeräte) oder das Sperren des Zugriffs auf IP-Adressen oder Domänen. Unternehmen ermitteln in der Regel Benutzergruppen und Ressourcengruppen, auf die diese Maßnahmen mit akzeptablen Auswirkungen angewendet werden können.
Und schließlich, weit weniger häufig automatisiert, sind Vorbeugung Aktionen. Während das Patchen immer mehr automatisiert wird (verwenden Sie schon Update-Ringe in Intune?), geht es hier um die automatische Reduzierung der Angriffsfläche auf der Grundlage von Vorfallsdaten und Bedrohungsdaten.
Einfach, nicht wahr?
Nicht ganz! Fortgeschrittene Automatisierung ist nichts für schwache Nerven. Sie erfordert einen Einblick in die Verfügbarkeit, Qualität und Konsistenz der Eingaben sowie ein klares Verständnis dessen, was in dem Szenario getan werden sollte - jedes Mal und jedes Mal. Fertigkeiten, Erfahrung, Daten und Werkzeuge. Wenn Sie dies (und das magische Element der Zeit) zusammenbringen können, werden Sie reich belohnt. Aus diesem Grund wenden sich viele mittelständische Unternehmen an ihre MSSP, um das Potenzial in ihrem Namen zu erschließen. Ich füge die Bemerkung ‘caveat emptor’ hinzu - nicht alle MSSPs sind gleich!
Es gibt Dinge, die Sie selbst in Angriff nehmen können. Eine Reihe von SIEM- und SOAR-Plattformen verfügen über standardmäßige Automatisierungen, die Sie in Betracht ziehen sollten - insbesondere die Anreicherungen. Sie können sich auch auf eine fortgeschrittenere Automatisierung vorbereiten, indem Sie sicherstellen, dass Sie relevante Protokolle und Daten von Vorfällen aufbewahren, um zu verstehen, welche Eingaben verfügbar sind. Asset-basierte Rules-of-Engagement-Modelle sind ebenfalls nützlich für die heutige und künftige Automatisierung - sie legen fest, welche Aktionen für bestimmte Ressourcen vorab autorisiert sind.
Was kommt als Nächstes?
Wir hoffen, dass wir jetzt ein gemeinsames Verständnis haben. In den nächsten Blogs werden wir das Mantra ‘Sichere Anweisung, sichere Ausführung und schnelle Erstellung’ weiter ausführen. Unserer Meinung nach ist dies der Schlüssel zu einer intelligenten Automatisierung und einer dynamischeren Reaktion auf sich entwickelnde Bedrohungen.
Gareth ist Chief Security Advisor und CISO bei Ontinue. Als CISO sorgt Gareth dafür, dass die interne Informationssicherheit von Ontinue sowie die Sicherheit der von Ontinue ION verwalteten erweiterten Erkennungs- und Reaktionsdienstplattform den Bedrohungen, denen wir ausgesetzt sind, und dem Vertrauen, das unsere Kunden in uns setzen, angemessen sind. Als Chief Security Advisor hat Gareth auch eine nach außen gerichtete Funktion, um das Bewusstsein für neue Bedrohungen und neuartige Wege zu deren Bekämpfung zu schärfen. Mit dem Fokus von Ontinue auf Microsoft-Technologien und der Bedeutung von Menschen und Prozessen hilft er potenziellen Kunden zu verstehen, wo unsere Dienstleistungen eingesetzt werden können.