全球网络安全人才短缺的压力之下,CISO开始转向安全自动化与安全编配技术。如将威胁情报集成进内部安全遥测中,为安全运营添加定制功能和自动化修复任务,以此提升员工生产力。如今,这一转变的速度和广度是大多数人始料未及的。
企业战略集团(ESG)的研究表明,19%的企业已经广泛部署了安全自动化与编配需要的技术;39%已部分部署;26%参与了自动化/编配安全运营的项目。
为什么大家都纷纷转向安全自动化与编配呢?ESG调查了412位网络安全及IT专业人士,试图找出企业在安全自动化与编配上的优先考虑。其中广受认同的几项如下:
35%的受访者想用安全自动化/编配技术集成外部威胁情报与内部安全数据收集及分析。安全调查需要从这两个来源入手,但在过去,外部情报与内部数据的集成是人工过程。这一数字表明,企业想让安全自动化/编配工具来完成耗时耗力的工作,弥合调查工作流。
30%想用安全自动化/编配技术来在现有工具基础上添加功能。通常,该功能集中在工作流编配上,将工作流编配成安全调查、事件响应或修复任务的一部分。
29%想用安全自动化/编配技术来自动化基本修复操作,比如根据收到的IoC自动产生新防火墙规则之类的。
28%想用安全自动化/编配技术关联多个工具产出的数据。有大量威胁检测工具不断产生报告和警告的情况下,安全团队就想要安全自动化/编配来关联混合这些输出,并得到更全面的安全事件视图。
22%想用安全自动化/编配技术来集成安全和IT运营工具。这能使安全分析师可以访问资产数据库、配置管理数据库(CMDB)、问题标记系统等等。很明显,这一需求就是 Resolve Systems 和ServiceNow这样的提供商进入安全自动化/编配市场的主要原因了。
安全自动化很有必要,但怎么使用呢?
CISO看待安全运营就像亨利·福特看待汽车制造一样。他们知道人工过程满足不了生产需求,于是就用新技术来机械化这些操作。福特使用了流水线;CISO则用安全自动化和编配工具。
安全自动化和编配市场还在早期发展阶段,很多信息安全人员对该市场还不是很了解。自动化和编配应对接已有SIEM吗?应该紧密集成进IT运营吗?需要开发自己的软件或者与Demisto、Phantom和Swimlane之类商业提供商合作吗?又或者,应该选择Exabeam、Siemplify或ThreatConnect这样的知名厂商的新分析技术或运营工具中的安全自动化/编配功能?
决策并不容易。但ESG调查了解到,成功的安全自动化/编配源自对过程改进的坚持,来自专门的阶段性实现计划,以及与资深安全技术提供商和合作伙伴关系。
领取专属 10元无门槛券
私享最新 技术干货