SOC自动化——拯救或灾难（下）

——研究如何在影响最小的情况下自动实现安全警报与分析人员需要处理的高风险警报之间取得平衡

中测安华编译

编译：方时 编审：陈世武 技术支持：刘彦钊

实现自动化的理想任务/票证

安全的关键规则之一是始终避免极端。让我们看看哪些任务可以自动化完成，同时保持可接受的风险级别--无论是在操作方面还是在安全方面。避免将自动化带到极端，自动化所有事情，并通过分析师无法遵循这些票证来证明这一决定的合理性。

解决方法是找到一个平衡点，在其中可以自动完成创建大量工作的任务/票证，在其过程中具有高度可重复性，并且目前正在分散注意力。诀窍是管理和控制误报，而不是消除它们。误报包括以下内容：

·扫描网络和系统

·针对未在系统上运行的服务进行噪音攻击/扫描

·不成功的攻击尝试

·低优先级系统如果受到破坏将会产生最小的影响

组织应远离可能对组织产生重大影响的自动警报（如果没有解决)。这些措施包括：

·缺少关键应用程序或系统

·高影响系统可能产生有害影响

·包含大量敏感数据的任何系统

·大规模折衷指标

给定威胁相对于警报的数量，考虑一些自动化措施以帮助提高SOC操作的效率。

迷你案例研究

在本案例研究中，我们使用医院来显示适当的自动化平衡。即使您不在医疗保健或医院工作，逻辑和推理也适用于几乎任何组织。

通常情况下，医院避免使用自动化，因为人们担心由于误报，任务关键系统可能会被阻断或断网。如果攻击是异常的且生命支持系统被离线，对患者安全的影响可能是很糟糕的。这个逻辑的问题是，一个小的系统子集被用作整个组织的一个例子。

这种方法在勒索攻击的情况下被证明是有问题的，因为它的移动速度如此之快，以至于几乎不可能用手动方法快速响应来控制损伤。管理和控制这些迅速涌现的攻击所造成的损伤的唯一可能的方法是通过自动化。现在，在勒索攻击通过使70%的数据无法使用而瘫痪医院网络后，医院正在学习利用商业网络上的自动化平衡，并使用手动方法对患者关键网络进行处理。这种类型的攻击于2017年5月发生在英国，当16家医院被关闭后，他们被攻击和勒索。

[小贴士]

平衡风险是关键。

确定高风险领域并使用SOC分析师，但考虑自动化的情况下，体积较大，但风险较低。

组织受到攻击的速率正在增加，而攻击破坏网络的速度也是如此，人类不可能跟上计算机的速度。打败电脑的唯一方法就是使用电脑。

自动化的未来

基于攻击发生和变化的速度，忽略自动化的组织将进一步落后，并处于大多数攻击中的失败一方。SOC将永远无法雇用足够的人来响应所有的警报。这就留下了两个选择：

1）减少生成的警报数，这可能导致攻击未被检测到。

2）自动执行大多数警报，并且分析人员只关注最重要的警报或自动化未处理到的预警。第二个选项对大多数组织来说是最有利的。

正如我们上面所展示的，成功实现自动化需要找到一个平衡点。从低优先级项目的一些自动化开始，不仅要向执行官显示价值，还要展示自动化带来的好处，并表明自动化不会损害企业。随着信心的增强，可以添加额外的自动化，但请记住，一切都可以自动化的观点是不切实际的。

结论

当您在SOC中考虑自动化时，问自己两个问题：

1）你目前正在打赢网络战，还是在网络战中正处于下风？

2）你想继续输吗？

作为妥协的手段和方法，我们对付对手的技巧也必须改变。组织受到攻击的速率正在增加，这些攻击的速度与网络的危害是一样的--人类不可能跟上计算机的速度。打败电脑的唯一方法就是使用电脑。

在使用SOC中的自动化时，重要的是要有一个深思熟虑的策略来解决以下关键问题：

·哪些区域产生的警报最多？

·哪些警报占用了大多数分析师的时间？

·哪些响应是非常结构化的，哪些是分析人员以可预知的方式响应的？

·是否可以使用剧本或运行手册进行安全自动化业务流程来处理某些事件？

·如果有假阳性报警（误报），哪些事件的影响最小？

通过使用这组调查，组织可以开始识别在其组织内可以自动化的区域。

译者后记：

SOC自动化目的在于减轻分析师的工作强度，其关键在于验证的自动化。人为寻找证据确认报警真实性的工作在现阶段占用了分析师大多数时间，然而这种工作尚不能实现自动化。随着科技的发展，机器学习等技术的逐步深入，可以预见SOC自动化程度将逐渐提高，人工和自动化之间将实现新的平衡。