Maximierung Ihrer Investitionen durch Sicherheitsautomatisierung

Seien wir ehrlich, wir sprechen seit Jahren über Sicherheitsautomatisierung. Wir haben uns damit auseinandergesetzt, was, wann und wie zu automatisieren ist. Wir haben das Thema Mensch vs. Maschine diskutiert. Und an bestimmten Punkten, wenn wir „verbrannt“ waren (automatisches Herunterfahren von Systemen irrtümlicherweise), haben wir uns gefragt, ob es überhaupt einen Platz für Automatisierung gibt. Aber in unserem Herzen wissen wir seit Jahren, dass Automatisierung die Zukunft ist. Jetzt ist die Zukunft da.

Während die meisten Unternehmen zumindest eine minimale Automatisierung wichtiger Sicherheits- und Incident-Response-Prozesse (IR) hatten, dienten die Ereignisse des Jahres 2020 als Wendepunkt, sagt Noor Boulos von ThreatQuotient . Das neue SANS In dem Bericht wird erörtert, wie die globale Pandemie viele Unternehmen gezwungen hat, ihre Automatisierungspläne zu beschleunigen, wobei sie ihre Investitionen und ihre Pläne für die Zukunft priorisieren. Die Umfrage umfasste Unternehmen jeder Größe, die eine Vielzahl von Branchen repräsentieren und in Nordamerika, Europa, im asiatisch-pazifischen Raum und in Afrika tätig sind.

Einige der wichtigsten Ergebnisse sind:

• Fast ein Drittel der Unternehmen gaben an, dass sich ihre Automatisierungspläne aufgrund der COVID-19-Pandemie beschleunigt haben.

• Mehr als 80 % der Unternehmen verfügen über eine zumindest teilweise Automatisierung wichtiger Sicherheits- und IR-Prozesse, gegenüber 47 % im Jahr 2020.

• In den IR-Prozessen wurde das stärkste Wachstum bei der Automatisierung verzeichnet, wobei die weitgehende Automatisierung um fast 18 % von 10,5 % im Jahr 2020 auf 28,3 % im Jahr 2021 gestiegen ist.

• Sicherheitsvorgänge und Ereignis- oder Warnungsverarbeitung bleiben der Hauptbereich für die Automatisierung, wobei 35,5% von einer umfassenden Automatisierung berichten.

• Die Zukunft der Sicherheitsautomatisierung sieht rosig aus. 85 % planen allein in den nächsten 12 Monaten die Automatisierung wichtiger Sicherheits- und IR-Prozesse.

Wenn Sie in die Zukunft blicken und diese Umfrageergebnisse verwenden, um besser zu verstehen, wie Sie den Einsatz von Automatisierung in Ihren Sicherheitsabläufen ausweiten können, ist es wichtig zu überlegen, wann Automatisierung innerhalb des Sicherheitslebenszyklus angewendet werden sollte, um den Geschäftswert zu maximieren.

Wir bei ThreatQuotient glauben seit langem, dass Daten das Lebenselixier der Erkennungs- und Reaktionsautomatisierung sind, daher beginnt der Schlüssel zu einer effektiven Automatisierung mit Daten. Nehmen wir als Beispiele die beiden Hauptanwendungsfälle im Bericht, Alert Triage und Incident Response.

Alert Triage:

Analysten werden von der Anzahl der Warnungen überschwemmt, die menschliche Aufmerksamkeit erfordern, die von lauten SIEM-Regeln und der standardmäßigen Verteidigungsinfrastruktur generiert werden. Um das Volumen und die Geschwindigkeit der Sicherheitswarnungen, die sie täglich bearbeiten müssen, zu reduzieren, wenden Analysten externe Bedrohungsdaten und Bedrohungsinformationen direkt an das SIEM an, aber es bestehen weiterhin Herausforderungen aus zwei Hauptgründen.

Erstens ist die Menge an externen Bedrohungsdaten erschreckend. Das direkte Senden all dieser Daten an das SIEM zur Korrelation führt zu Tonnen von nicht kontextabhängigen Warnungen, von denen jede einen erheblichen Aufwand für die Recherche durch einen Analysten erfordert. Zweitens fehlt es den aktuellen Tools an Entscheidungsunterstützungsfunktionen, um zusätzlichen Kontext und Verständnis bereitzustellen, um die Relevanz zu bestimmen, bevor Threat Intelligence-Feeds direkt in das SIEM angewendet werden. Die Priorisierung ist unerlässlich, um sich zu konzentrieren und die geeigneten nächsten Maßnahmen zu bestimmen, die während des Alert-Triage-Prozesses zu ergreifen sind.

Mit der ThreatQ-Plattform können Sie die Herausforderung der Warnungstriage angehen und nutzlose Warnungen stoppen, bevor sie auftreten, indem Sie NUR für das Unternehmen relevante Bedrohungsinformationen einspeisen. Durch automatisches Anwenden von Kontext, Relevanz und Priorisierung auf Bedrohungsdaten, bevor diese auf das SIEM angewendet werden, wird das SIEM effizienter und effektiver.

Angepasste Threat-Intelligence-Scores basierend auf von Ihnen festgelegten Parametern in Verbindung mit dem Kontext ermöglichen eine Priorisierung basierend auf dem, was für Ihre spezifische Umgebung relevant ist. Durch die Verwendung einer Teilmenge von Bedrohungsdaten, die in Bedrohungsinformationen kuratiert wurden, ermöglicht das zusätzliche Overlay dem SIEM, weniger Fehlalarme zu generieren und auf weniger Skalierbarkeitsprobleme zu stoßen.

Vorfallreaktion:

Der aktuelle Ansatz für Security Orchestration, Automation and Response (SOAR) konzentriert sich auf die Automatisierung von Prozessen. Die Herausforderung besteht darin, dass prozessorientierte Playbooks bei der Anwendung auf Erkennung und Reaktion von Natur aus ineffizient und komplex sind, da die Entscheidungskriterien und die Logik in die Playbooks integriert sind und in jedem Playbook aktualisiert werden müssen. Diese Komplexität wächst exponentiell, wenn Sie die Anzahl der Playbooks erhöhen. Die Automatisierung und Orchestrierung verrauschter Daten verstärkt nur das Rauschen.

Mit ThreatQ TDR Orchestrator können Sie einen vereinfachten, datengesteuerten Ansatz für SOAR verfolgen, bei dem die Daten oder Informationen die Playbook-Initiierung vorantreiben und Daten, die durch ergriffene Maßnahmen gewonnen werden, für Analysen und zur Verbesserung der zukünftigen Reaktion verwendet werden. Das Einfügen der „Smarts in die Plattform“ und nicht einzelner Playbooks sorgt für eine einfachere Konfiguration und Wartung sowie für effizientere und effektivere Automatisierungsergebnisse. Benutzer können Daten im Voraus kuratieren und priorisieren, relevante Daten automatisieren und ergriffene Maßnahmen vereinfachen.

Der Autor ist  Noor Boulos von ThreatQuotient