Automatizavimas šiandien turi didelį potencialą sumažinti daugelį fizinio ir kibernetinio saugumo problemų, tokių kaip kvalifikuotų ekspertų bei išteklių trūkumas, per daug įspėjamųjų signalų ir kasdieninių problemų. Iš esmės saugos automatizavimas reiškia technologijų naudojimą apsaugos procesams automatizuoti.
Tačiau automatizavimas yra laipsniškas kelias, kurį organizacijos turi pradėti taip, kaip pradeda žmonės - visų pirma pradėdami šliaužti, tada vaikščioti ir tik tada bėgti. Ši kelionė dažniausiai susideda iš penkių skirtingų etapų:
0 etapas – viskas organizacijoje atliekama rankiniu būdu; 1 etapas - automatizavimas vyksta tik kai kuriuose etapuose/procesuose; 2 etapas – organizacija yra įsipareigojusi automatizuoti ir naudoja įrankius žmogaus efektyvumui didinti sprendžiant problemas; 3 etapas – organizacija plačiai naudoja įrankius veiklai vykdyti, tačiau sprendimus vis tiek priima žmonės; 4 etapas – organizacija naudoja įrankius sprendimams priimti ir su tais sprendimais susijusiems veiksmams atlikti, žmonės dalyvauja tik tam, kad įsitikintų, jog viskas vyksta taip, kaip tikimasi; 5 etapas – visiška autonomija, kai veiksmus atlieka įrankiai, o žmonės gali net nežinoti, kad priimami sprendimai ar atliekami veiksmai, kol įrankiai nepateikia ataskaitos. Įrankiai atlieka net tikslius derinimus ir koregavimus.
Matoma, kad pirmųjų trijų etapų organizacijos - visiškai veikia, o kai kurioms pavyksta pasiekti net ketvirtąjį lygį. Tačiau penktasis lygis, na... apie tai, kiek jis realus - ar jis materializuosis netolimoje ateityje, ar vis dėlto tebėra mokslinės fantastikos lygio, spręsti turi kiekvienas pats.
Šiame straipsnyje skaitysite:
Kas yra apsaugos automatizavimas?
Apsaugos automatizavimo poreikis
Automatizuoti procesus ar ne?
Apsaugos automatizavimo privalumai
Dažniausi apsaugos automatizavimo naudojimo atvejai ir pavyzdžiai
Automatinis galutinio įrenginio nuskaitymas
Automatinis bandomojo kodo generavimas
Naujos aplinkos apsaugos automatizavimo taisyklių atnaujinimas
Saugumo automatizavimo priemonių tipai
Robotinis procesų automatizavimas (RPA)
Saugos instrumentavimas, automatizavimas ir reagavimas (SOAR)
XDR
Tipinis apsaugos automatizavimo procesas
Apsaugos automatizavimo geroji praktika
Kas yra apsaugos optimizavimas?
Apsaugos automatizavimas - tai mašinomis grindžiamos saugumo veiklos, kuriomis galima aptikti, ištirti ir užkirsti kelią kibernetinėms grėsmėms įsikišus žmogui arba be jo įsikišimo. Saugumo automatizavimas gali padėti nustatyti kylančias grėsmes, rūšiuoti perspėjimus ir nustatyti jų prioritetus, taip pat automatizuotai reaguoti į incidentus. Apsaugos automatizavimo priemonės apima tokias veiklas kaip:
Grėsmių aptikimas IT aplinkoje;
Potencialių grėsmių rūšiavimas, laikantis tos pačios darbo eigos, kurią saugumo analitikai naudoja įvykių tyrimui ir klasifikavimui;
Sprendimų dėl tinkamiausių veiksmų grėsmei suvaldyti ar sumažinti priėmimas;
Grėsmių mažinimo veiksmų vykdymas.
Tačiau, kaip ir bet kuri vertinga investicija, automatizavimas nėra nemokamas. Jis reikalauja:
Kruopštaus mąstymo ir planavimo;
Kruopščiai dokumentuotų procesų;
Pradinės automatizavimo sistemos sąrankos;
Būti nuolatinio tobulinimo ir modifikavimo etape, kad būtų galima prisitaikyti prie numatomų aplinkos ir procesų pokyčių;
Tinkamų priemonių ir dvikryptės šių priemonių integracijos.
Kibernetinio saugumo optimizavimo poreikis
Įmonėms reikia pakankamo kiekio darbuotojų, kad jie galėtų priimti tinkamus saugumo sprendimus, tačiau yra daug kitų užduočių, kurias kompiuteriai gali atlikti greičiau. Tinkamo automatizavimo pasekmės yra greitesnis ir saugesnis diegimas, ilgesnis veikimo laikas ir geresnis išteklių valdymas. Dėl šių patobulinimų su saugumu susiję asmenys turi daugiau laiko priimti geresnius sprendimus. Sprendimai turi būti geri, nes automatizavimas tik pagreitina sprendimo priėmimą - blogas automatizuotas sprendimas tik dar greičiau tampa blogu sprendimu.
"Nulinis pasitikėjimas" - tai saugumo koncepcija, padedanti valdyti vis didėjantį kibernetinio saugumo grėsmių skaičių ir sudėtingumą.
Ji reikalauja detalaus prieigos patvirtinimo ir atsisakymo, pagrįsto vaidmenimis pagrįstos prieigos kontrolės (RBAC) politika, taip užkertant kelią netiesioginiam pasitikėjimui saugomu tinklu. Tačiau toks detalus saugumas kainuoja papildomai, todėl saugumo automatizavimas yra labai svarbus norint sukurti keičiamo dydžio ir saugią nulinio pasitikėjimo strategiją. Apsaugos automatizavimas padeda sumažinti įvairią saugumo komandoms tenkančią naštą. Rutinines, pasikartojančias saugumo užduotis galima automatizuoti ir taip sumažinti naštą, tenkančią vidiniams kibernetinio saugumo ekspertams. Tai gali pagreitinti projektus ir racionalizuoti saugumą, kad komanda galėtų sutelkti dėmesį tik į didelio prioriteto grėsmes. Automatizavimas taip pat padeda užtikrinti pasitikėjimą saugumo padėtimi, nes sumažina tikimybę, kad potencialios grėsmės bus nepastebėtos dėl žmogiškųjų klaidų.
Dar viena svarbi priežastis, dėl kurios reikia automatizuoti apsaugą, yra siekis užtikrinti atitiktį kibernetinio saugumo taisyklėms ir pramonės standartams. Saugumo atitikties reikalavimų ir atskirų sertifikatų valdymas yra sudėtingas procesas, ypač atsižvelgiant į besikeičiančius pramonės ir teisinius reikalavimus. Automatizavimas palengvina atitikties ir sertifikavimo lygių palaikymą.
Dažniausiai užduodami klausimai, užduodami dar planavimo etape:
Ką automatizuosime (visą SOC (saugumo operacijų centrą), tik kai kuriuos perspėjimus, tyrimo terminus ir pan.) - kokia yra automatizavimo apimtis?
Kada naudosime automatizuotą sprendimą - kokie yra automatizavimo paleidimo punktai?
Kas priims sprendimą automatizuoti - konkrečiau, ar tai bus žmonės, ar priemonės?
Kaip bus automatizuojami procesai - visiškai, ar automatizavimas bus vykdomas naudojant specialias priemones?
Koks yra grįžtamasis ryšys ir nuolatinio tobulinimo procesai - koks yra automatizavimo gyvavimo ciklas?
Kokia yra atsakomybės priskyrimo matrica - kokia yra atsakingų, atskaitingų, konsultuojamų, informuojamų asmenų matrica?
Automatizuoti procesus ar ne?
Automatizavimas prasmingiausias, jei aplinka yra gana stabili, kai kurios situacijos kartojasi, o problemos visada sprendžiamos tuo pačiu būdu. Automatizavimo galimybė - išspręsti vieną kartą ir panaudoti technologiją daugkartiniam pakartojimui. Tokiu atveju paprastai yra aiški investicijų grąža (ROI), o tai labiau padeda įsitraukti į automatizavimo kelionę.
Kita vertus, jei aplinka ar procesai dažnai keičiasi, kiekviena situacija yra unikali, sprendimo darbo eigoje gausu išimčių arba atsakymas į klausimą "Kaip tai išspręsti?" yra "Priklauso nuo situacijos", tuomet automatizavimas gali neturėti prasmės. Vėlgi, kol procesai nėra tinkamai dokumentuoti, organizacija nėra pasirengusi automatizavimui.
Apsaugos automatizavimo privalumai
Apsaugos automatizavimas gali būti labai naudingas:
Greitesnis grėsmių aptikimas - SOC analitikai yra priblokšti dėl apsaugos įspėjimų ir negali nuodugniai ištirti visų incidentų. Automatizavimas gali padėti automatiškai suskirstyti įspėjimus ir nustatyti tikrus incidentus, todėl analitikai gali greičiau nustatyti grėsmes.
Greitesnis sulaikymas ir sušvelninimas – automatiniai įrankiai gali iš karto vykdyti saugos instrukcijas reaguodami į tam tikro tipo incidentus. Tai reiškia, kad grėsmes galima suvaldyti ar net pašalinti be žmogaus įsikišimo.
Produktyvumo padidinimas – SOC nuolat patiria įgūdžių trūkumą, o analitikai pervargsta. Perkeldami rankines užduotis į automatizuotus procesus, apsaugos analitikai gali sutelkti dėmesį į vertingesnę veiklą ir pagerinti našumą. Automatizavimas taip pat leidžia 1 pakopos darbuotojams atlikti įvairesnes užduotis, neperduodant jų labiau kvalifikuotiems analitikams.
Apsaugos procesų standartizavimas - Norint įgyvendinti apsaugos automatizavimą, reikia standartizuoti saugos įrankius ir procesus visoje organizacijoje. Tai ne tik palengvina automatizuotus procesus, bet ir padeda aiškiai apibrėžti rankinius procesus bei užtikrinti, kad jie būtų nuosekliai taikomi visoje organizacijoje.
Dažniausi apsaugos automatizavimo naudojimo atvejai ir pavyzdžiai
Automatinis galutinio įrenginio nuskaitymasGalinio įrenginio nuskaitymas yra geriausia praktika, kai įvyksta galimi saugos incidentai. Šie nuskaitymai patikrina paveiktus taškus, kad nustatytų, ar įvyko pažeidimas ir kokia yra pažeidimo apimtis. Tada komanda gali atskirti visus pagrindinius pažeistus taškus nuo likusio tinklo. Tačiau tradicinis nuskaitymas yra lėtas ir reikalauja kelių suinteresuotųjų šalių.
Automatizavimas padaro galutinio įrenginio nuskaitymą efektyvesnį. Tai sumažina rankinį darbą, kurio reikia norint nuskaityti atskirai. Automatiniai skaitytuvai taip pat pašalina poreikį rašyti kodus, kad nuskaitymo įrankiams būtų nurodyta, kada nuskaityti informaciją.
Nuskaitymų konfigūravimas ir suaktyvinimas automatiškai leidžia komandoms daug greičiau rasti galutinio įrenginio saugos problemas – pavyzdžiui, jei komanda įtaria, kad konkretaus vartotojo kompiuteryje yra kenkėjiškų programų, ji gali paprašyti automatinio to vartotojo galutinio įrenginio nuskaitymo.
Automatinis bandomojo kodo generavimas
Tradicinio CI/CD vamzdyno testavimo etape (CI/CD vamzdynai - tai praktika, kuria siekiama automatizuojant pagerinti programinės įrangos pristatymą per visą programinės įrangos kūrimo ciklą) paprastai daugiausia dėmesio skiriama programų patikimumo ir našumo, o ne saugumo testavimui. Taip yra ne todėl, kad programinės įrangos inžinieriams nerūpi saugumas, bet todėl, kad inžinierių komandoje retai būna patyrusių saugumo inžinierių. Kodas, kuriuo automatizuojamas saugumo testavimas prieš diegimą, užima daug laiko ir dažnai nėra toks skubus kaip našumo testavimas.
Šiame kontekste automatizuotas apsaugos testavimo kodo generavimas padeda integruoti saugumą į CI/CD procesą, sumažindamas saugumo testavimo kodo kūrimo sudėtingumą. Testų inžinierių komanda gali nurodyti saugumo rizikas, kurios turi būti įtrauktos į testus, pavyzdžiui, injekcijos pažeidžiamumą. Tada jie gali naudoti automatiškai sugeneruotą kodą šiems testams atlikti, todėl CI/CD saugumo testavimas tampa daug paprastesnis.
Naujos aplinkos apsaugos automatizavimo taisyklių atnaujinimas
Jūsų organizacijoje jau gali būti įdiegtos saugos taisyklių konfigūracijos, kurios turėtų būti perrašytos, kai pereinate į naują aplinką (t. y. iš vieno debesies teikėjo į kitą). Paprastai programuotojai ir saugumo analitikai turi dirbti kartu, kad atnaujintų naujos aplinkos apsaugos automatizavimo taisykles – tai varginantis ir sudėtingas procesas.
Arba galima naudoti apsaugos automatizavimo įrankį, kuris automatiškai generuoja apsaugos kodą, taip sumažinant poreikį kodą rašyti rankiniu būdu. Tikėtina, kad komandai vis tiek reikės pritaikyti kodą automatiniams kodo naujinimams, kad būtų užtikrintas naujų nustatymų saugumas.
Apsaugos automatizavimo įrankių tipai
Toliau pateikiamos trys įrankių, galinčių padėti automatizuoti saugumo procesus, kategorijos.
Robotinis procesų automatizavimas (RPA)
RPA technologija gali automatizuoti žemo lygio procesus, kuriems nereikia pažangios analizės. RPA paslaugose paprastai naudojama programinės įrangos "roboto", kuris naudoja pelės ir klaviatūros komandas, kad automatizuotų operacijas virtualioje kompiuterinėje sistemoje, koncepcija.
Pažeidžiamumų skenavimas
Stebėsenos priemonių paleidimas ir rezultatų išsaugojimas
Pagrindinės grėsmės mažinimas, pavyzdžiui, blokuojamas kenkėjiškas IP.
RPA trūkumas yra tas, kad ji atlieka tik elementarias užduotis. Jos negalima integruoti su apsaugos priemonėmis ir ji negali naudoti sudėtingų samprotavimų ar analizės savo veiksmams valdyti.
Saugos instrumentavimas, automatizavimas ir reagavimas (SOAR)
SOAR sistemos - tai sprendimų rinkinys, leidžiantis organizacijoms rinkti duomenis apie saugumo grėsmes ir reaguoti į saugumo incidentus be žmogaus įsikišimo. Šią kategoriją apibrėžė "Gartner" ir ji reiškia bet kokią priemonę, kuri gali padėti apibrėžti, nustatyti prioritetus, standartizuoti ir automatizuoti reagavimo į incidentus funkcijas.
SOAR platformos gali organizuoti operacijas su keliomis saugumo priemonėmis. Jos palaiko automatizuotas saugumo darbo eigas, politikos vykdymo užtikrinimą ir pranešimų automatizavimą ir paprastai naudojamos automatizuotam pažeidžiamumų valdymui ir ištaisymui.
XDR
Išplėstinio aptikimo ir reagavimo (eXtended Detection and Response, XDR) sprendimai - tai galutinio įrenginio aptikimo ir reagavimo (EDR) bei tinklo aptikimo ir reagavimo (NDR) sprendimai. Jie konsoliduoja duomenis iš visos apsaugos aplinkos, įskaitant galutinius įrenginius, tinklus ir debesijos sistemas, ir leidžia nustatyti vengimo atakas.
XDR gali automatiškai sujungti telemetrijos duomenis į atakos istoriją, suteikdamas analitikams viską, ko reikia incidentui ištirti ir jį reaguoti. Ją taip pat galima tiesiogiai integruoti su apsaugos priemonėmis, kad būtų galima vykdyti automatinius atsakymus, todėl ji tampa visapusiška incidentų tyrimo ir reagavimo į juos automatizavimo platforma.
XDR automatizavimo galimybės apima:
"Mašininiu" mokymusi pagrįstas aptikimas - apima prižiūrimus ir pusiau prižiūrimus metodus, skirtus netradicinėms grėsmėms nustatyti pagal elgsenos pagrindus, įskaitant grėsmes, kurios jau pažeidė saugumo perimetrą.
Susijusių perspėjimų ir duomenų koreliacija - automatiškai grupuoja susijusius perspėjimus, sudaro atakų grafikus ir seka įvykių grandines, kad nustatytų pagrindines priežastis.
Centralizuota naudotojo sąsaja (UI) - viena sąsaja, skirta perspėjimams peržiūrėti, nuodugniems ekspertizės tyrimams atlikti ir automatiniams veiksmams, kuriais reaguojama į grėsmes, valdyti.
Reakcijos / atsako reagavimas - galima reaguoti rankiniu būdu per analitiko sąsają, taip pat automatizuotai reaguoti per API integraciją su įvairiomis saugumo priemonėmis.
Laikui bėgant patobulinimai - XDR mašininio mokymosi algoritmai laikui bėgant tampa vis efektyvesni, kad būtų galima aptikti įvairesnes atakas.
Tipinis apsaugos automatizavimo procesas
Nors įvairios saugumo priemonės veikia skirtingai, pateikiame tipinį automatizuotos saugumo sistemos procesą. Daugeliu atvejų automatizuota saugumo sistema atliks tik vieną ar kelis iš šių veiksmų, o likusius atliks žmogus (analitikas):
Saugumo analitiko tiriamosios veiklos imitavimas - gaunami įspėjimai iš saugumo priemonių, lyginant juos su kitais duomenimis ar grėsmių žvalgybos informacija ir nusprendžiant, ar įspėjimas yra tikras incidentas.
Reakcijos nustatymas - nustatytant, kokio tipo saugumo incidentas įvyksta, ir parenkant tinkamiausią automatizuotą procesą arba saugumo veiksmų vadovą.
Sulaikymas ir išnaikinimas - automatinių veiksmų, naudojantis saugumo priemonėmis ar kitomis IT sistemomis, ėmimasis siekiant užtikrinti, kad grėsmė negalėtų išplisti ar padaryti didesnės žalos, ir išnaikinti ją iš paveiktų sistemų. Pavyzdžiui, automatizuojant pirmajame etape galima izoliuoti užkrėstą sistemą nuo tinklo, o antrajame etape ją ištrinti ir vėl atkurti.
Eskalavimas - automatizuotos sistemos gali naudoti taisykles, kad suprastų, ar automatizuotais veiksmais pavyko sumažinti grėsmę, ar reikia imtis tolesnių veiksmų. Šiuo atveju jos gali būti integruotos su skambučių ar budėjimo planavimo sistemomis, kad įspėtų analitikus su konkrečia informacija apie vykstantį incidentą. Jei tolesnių veiksmų nebereikia, automatizavimas gali užbaigti procesą, pateikdamas išsamią ataskaitą apie aptiktą grėsmę ir veiksmus, kurių buvo imtasi.
Apsaugos optimizavimo geroji praktika
Ruošiantis įdiegti apsaugos automatizavimo technologiją savo organizacijoje, pateikiame keletą geriausios praktikos pavyzdžių, kurie gali padėti gauti kuo daugiau naudos.
Automatizacijos prioritetų nustatymas. Nustatykite dažniausiai pasitaikančius saugumo įvykius ir tuos, kurių tyrimas ir sprendimas užtrunka ilgiausiai. Tada apibrėžkite naudojimo atvejus ir sudarykite sąrašą, kaip apsaugos automatizavimas gali padėti, remdamiesi savo organizacijos tikslais.
Pradėkite nuo užrašų, kuriuose dokumentuojami žingsniai, procesai ir geroji praktika, kuriuos jūsų komandos šiandien naudoja, kad veiksmingai spręstų incidentus. Užtikrinkite, kad komandos laikytųsi nuoseklaus ir pasikartojančio proceso, kai tik įvyksta incidentas. Tada nustatykite daugiausiai laiko reikalaujančius, pasikartojančius procesus ir naudokite juos pirmiesiems automatizuotiems grojaraščiams apibrėžti.
Laipsniškas automatizavimo diegimas. Nustatę visas saugumo užduotis, kurias galite automatizuoti, turėkite omenyje, kad negalite jų visų automatizuoti iš karto. Pradėkite nuo tų užduočių, kurias automatizuoti prasmingiausia, kurios turi didelę sėkmės tikimybę arba duoda tiesioginę naudą. Pritaikę nedidelės apimties automatizavimą, galite stebėti savo pažangą, pažvelgti į rezultatus ir prireikus koreguoti.
Investuokite į mokymus. Turėsite mokyti savo darbuotojus, kaip veiksmingai naudoti automatizavimo priemones. Mokymai turėtų būti skirti ne tik tam, kaip nustatyti ir naudoti automatizuotus procesus. Apibrėžkite, kokių tipų procesus ir veiksmus turėtų atlikti darbuotojai ir kaip prireikus sklandžiai eskaluoti mokymus įmonės analitikams. Įsitikinkite, kad analitikai žino, kaip gauti užduotis iš automatizuotų saugumo sistemų, supranta gautus duomenis ir gali sklandžiai tęsti incidento apdorojimą.
Išvados
Saugumo automatizavimas - tai tema, kuri pagrįstai yra visų apsaugos specialistų dėmesio centre.
Nors organizacijos turi pripažinti, kad įgyvendinant veiksmingą automatizavimą kyla sunkumų, nauda dažnai būna didelė, jei jos supranta, kaip svarbu atsargiai ir metodiškai laipsniškai pereiti prie didesnio automatizavimo. Ir nors pirmieji diegėjai ir kiti eksperimentai teikia vilčių, labai svarbu pripažinti, kad nepaisant didelių pardavėjų rinkodaros pastangų, vis dar esame šios srities ankstyvojoje stadijoje.
Jei norite gauti papildomų žinių - tikrų istorijų, saugumo srities ekspertų nuomonių ir realių tyrimų apie apsaugos automatizavimą savo organizacijoje, registruokitės į Nordic Sectech Summit 2023, kuris vyks š. m. rugsėjo 21 d. Rygoje.
Turite klausimų?
Susisiekite su mumis!