Memaksimalkan investasi Anda melalui otomatisasi keamanan
Mari kita hadapi itu, kita telah berbicara tentang otomatisasi keamanan selama bertahun-tahun. Kami telah bergulat dengan apa, kapan, dan bagaimana mengotomatisasi. Kami telah memperdebatkan topik manusia vs mesin. Dan pada titik tertentu, ketika kami telah "terbakar" (secara otomatis mematikan sistem karena kesalahan), kami bertanya-tanya apakah ada tempat untuk otomatisasi. Namun di lubuk hati kami, kami telah mengetahui selama bertahun-tahun bahwa otomatisasi adalah masa depan. Sekarang masa depan ada di sini.
Sementara sebagian besar organisasi memiliki setidaknya otomatisasi minimal proses keamanan kunci dan respons insiden (IR), peristiwa tahun 2020 menjadi titik kritis, kata Noor Boulos dari ThreatQuotient . SANS . yang baru report membahas bagaimana pandemi global memaksa banyak organisasi untuk mempercepat rencana otomatisasi mereka, di mana mereka memprioritaskan investasi dan rencana yang mereka miliki untuk masa depan. Survei tersebut mencakup perusahaan dari semua ukuran, yang mewakili perpaduan beragam industri dan dengan operasi di Amerika Utara, Eropa, Asia Pasifik, dan Afrika.
Beberapa temuan utama meliputi:
Hampir sepertiga organisasi menunjukkan bahwa rencana otomatisasi mereka dipercepat karena pandemi COVID-19.
Lebih dari 80% organisasi memiliki setidaknya sebagian otomatisasi proses keamanan utama dan IR, naik dari 47% pada tahun 2020.
Menggali lebih dalam, proses IR melihat pertumbuhan paling signifikan dalam otomatisasi dengan otomatisasi ekstensif melonjak hampir 18%, dari 10,5% pada tahun 2020 menjadi 28,3% pada tahun 2021.
Operasi keamanan dan pemrosesan peristiwa atau peringatan tetap menjadi area teratas untuk otomatisasi dengan 35,5% pelaporan otomatisasi ekstensif.
Masa depan terlihat cerah untuk otomatisasi keamanan, dengan 85% perencanaan untuk mengotomatisasi keamanan utama dan proses IR dalam 12 bulan ke depan saja.
Saat Anda melihat ke masa depan dan menggunakan hasil survei ini untuk membantu lebih memahami cara memperluas penggunaan otomatisasi dalam operasi keamanan Anda, penting untuk mempertimbangkan kapan harus menerapkan otomatisasi dalam siklus hidup keamanan untuk memaksimalkan nilai bisnis.
Di ThreatQuotient, kami telah lama percaya bahwa data adalah sumber kehidupan deteksi dan otomatisasi respons, jadi kunci otomatisasi yang efektif dimulai dengan data. Mari kita ambil dua kasus penggunaan utama dalam laporan, Alert Triage dan Incident Response, sebagai contoh.
Triase Peringatan:
Analis dibanjiri oleh jumlah peringatan yang membutuhkan perhatian manusia, yang dihasilkan oleh aturan SIEM yang berisik dan infrastruktur pertahanan default. Dalam upaya untuk mengurangi volume dan kecepatan peringatan keamanan yang harus mereka tangani setiap hari, analis menerapkan data ancaman eksternal dan umpan intelijen ancaman langsung ke SIEM, tetapi tantangan terus berlanjut karena dua alasan utama.
Pertama, jumlah data ancaman eksternal sangat mengejutkan. Mengirimkan semua data ini langsung ke SIEM untuk korelasi menghasilkan banyak peringatan non-kontekstual, yang masing-masing memerlukan kerja signifikan oleh seorang analis untuk meneliti. Kedua, kurangnya kemampuan pendukung keputusan dalam alat saat ini untuk memberikan konteks dan pemahaman tambahan untuk menentukan relevansi, sebelum menerapkan umpan intelijen ancaman langsung ke SIEM. Prioritas sangat penting untuk fokus dan menentukan tindakan selanjutnya yang tepat untuk diambil selama proses triase waspada.
Dengan Platform ThreatQ Anda dapat mengatasi tantangan triase peringatan dan menghentikan peringatan yang tidak berguna sebelum terjadi dengan HANYA memberikan intelijen ancaman yang relevan dengan organisasi. Dengan secara otomatis menerapkan konteks, relevansi, dan prioritas pada data ancaman sebelum menerapkannya ke SIEM, SIEM menjadi lebih efisien dan efektif.
Skor intelijen ancaman yang disesuaikan berdasarkan parameter yang Anda tetapkan, ditambah dengan konteks, memungkinkan penentuan prioritas berdasarkan apa yang relevan dengan lingkungan spesifik Anda. Sekarang, dengan menggunakan subset data ancaman yang telah dikurasi menjadi intelijen ancaman, overlay tambahan memungkinkan SIEM menghasilkan lebih sedikit kesalahan positif dan menghadapi lebih sedikit masalah skalabilitas.
Tanggapan insiden:
Pendekatan saat ini untuk Security Orchestration, Automation and Response (SOAR) telah berfokus pada proses otomatisasi. Tantangannya adalah ketika diterapkan pada deteksi dan respons, buku pedoman yang berfokus pada proses secara inheren tidak efisien dan kompleks karena kriteria dan logika pengambilan keputusan dibangun ke dalam buku pedoman dan pembaruan perlu dilakukan di setiap buku pedoman. Kompleksitas ini tumbuh secara eksponensial saat Anda meningkatkan jumlah buku pedoman. Mengotomatiskan dan mengatur data yang bising hanya memperkuat kebisingan.
Dengan ThreatQ TDR Orchestrator Anda dapat mengambil pendekatan berbasis data yang disederhanakan ke SOAR, di mana data, atau informasi, mendorong inisiasi buku pedoman dan data yang dipelajari dari tindakan yang diambil digunakan untuk analitik dan untuk meningkatkan respons di masa mendatang. Menempatkan "kecerdasan di platform" dan bukan buku pedoman individu menyediakan konfigurasi dan pemeliharaan yang lebih sederhana, dan hasil otomatisasi yang lebih efisien dan efektif. Pengguna dapat menyusun dan memprioritaskan data di awal, mengotomatiskan apa yang relevan, dan menyederhanakan tindakan yang diambil.
