当前位置:首页 > 系统1 > 网络安全
网络安全

自动化响应要循序渐进 不能一蹴而就

时间:2022-04-02 01:58:12   作者:缘北   来源:缘北网络科技52ybkj.com   阅读:467   评论:0
内容摘要:大多数开始实施自动响应的组织都会在条件满足时通知员工,直到安全控制措施不会产生中断业务的意外后果。然后再找到并优化需要改进的地方,以逐步实现自动化。安全人员最头疼的问题之一是大量警报。即使在过滤掉噪音之后,这个数字也仍然远超安全团队的处理能力。同时,招聘熟练安全专业人员的预算也很少,少到连其他专业人员兼职安全的预算也不...
大多数开始实施自动响应的组织都会在条件满足时通知员工,直到安全控制措施不会产生中断业务的意外后果。然后再找到并优化需要改进的地方,以逐步实现自动化。

自动化响应要循序渐进_不能一蹴而就

安全人员最头疼的问题之一是大量警报。即使在过滤掉噪音之后,这个数字也仍然远超安全团队的处理能力。同时,招聘熟练安全专业人员的预算也很少,少到连其他专业人员兼职安全的预算也不够。因此,似乎只剩下一条道路了,自动化。

自动化响应可以分成三个进阶,我们结合以下三个场景来了解:

情景1:潜在的内部威胁

某用户机构的IT管理员账号被用来登陆访问并修改以前从未触碰过的系统。这可能是对潜在内部威胁的预警,但也可能什么都不是。异常活动会触发一个playbook,向IT管理员及其主管的移动设备上推送通知。他们可以选择在活动目录中禁用用户账号,或者ServiceNow中打开一个ticket做进一步调查。

场景2:特权账号访问异常

高级管理人员的特权账号正被用来从一个不寻常的地理位置操纵公司信息。该事件触发了一个playbook,以控制潜在的威胁,并通知安全团队。账号的权限受到限制,推送通知发送给安全管理员,并将消息发送给安全团队,以验证活动的合法性。

情景3:复杂的失陷指征

一家医疗诊所的患者住院系统显示PowerShell活动异常,与已知的勒索软件攻击活动一致。该事件立即触发一个playbook,以隔离失陷主机,并在边缘层阻止外部资源的通信,以防止传播到其他主机。

分析

第一个场景是一个组织在其响应计划中探索自动化的早期阶段的示例,它允许在执行对安全控制的更改之前进行人工引导的决策。如,禁用用户账号。同时,也推动了进一步的调查工作。在这一阶段,组织希望确保了解资产(系统)的关键性,并将其归类为“关键资产”,以开展自动化响应工作。

第二个场景是一个组织开始拥抱自动化的例子。某个条件触发安全控制并自动调整成更严格的限制,并在调查人员验证活动合法性的同时,仍然允许用户访问内部资源。这一阶段,具备了在调查工作进行的执行安全控制措施,显然超越了“非黑即白”的早期自动化阶段。

第三个场景则是真正的自动化响应。自动化系统在主机和边缘层安全控制自动执行操作,以防止传播和入侵。速度至关重要,因此没有人为的决策点。尽管会向相关者发出某种通知,以便对受影响的系统进行进一步的取证和加固。

总而言之,上述三种情况都需要采取多种措施,包括通知相关人员和调整安全控制。大多数开始实施自动响应的组织都会在条件满足时通知员工,直到安全控制措施不会产生中断业务的意外后果。然后再找到并优化需要改进的地方,以逐步实现自动化。最终,判断一个组织是否做到了真正的自动化响应,要看其是否对自身的安全态势感到满意,并能够以自己的节奏采取控制措施,平衡流程自动化和人机交互,以满足其安全需求。

责任编辑:赵宁宁来源: 数世咨询

 #免责声明#

本站所有文章,软件,源码,来源 互联网的搬运收集,只提供学习教程,请勿非法使用,后果自负!

不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。敬请谅解!

出处:缘北网络科技工作室
网址:http://52ybkj.com/
转载时请注明出处和网址

企业客服QQ:97576821

微信:sinian990202

  QQ交流群: 缘北科技 


标签:不能  自动  渐进  循序  响应  
相关评论
介绍 - 咨询联系

本站资源来自互联网收集 仅供用于学习和交流 请遵循相关法律法规  立即咨询微信sinian990202  立即咨询

富强、民主、文明、和谐,自由、平等、公正、法治, 爱国、敬业、诚信、友善

公安备案:44011302003351统一社会信用代码:92460000MAA921J082 工信部备案:琼ICP备2021009498号-1