Nền tảng điều phối an ninh và tự động hóa: Cách chọn nhà cung cấp

Nhưng các nền tảng điều phối an ninh, tự động hóa và phản ứng (SOAR - Security Orchestration, Automation and Response) đã xuất hiện để giải quyết vấn đề đang phát triển này. Vấn đề khi có quá nhiều công cụ bảo mật khác nhau phát ra các cảnh báo mà không có đủ chuyên gia để giải quyết chúng.

SOAR cho phép các nhóm SecOps tích hợp các công nghệ và quy trình bị ngắt kết nối vào một hệ sinh thái bảo mật gắn kết hơn, cho phép nhân viên làm việc hiệu quả hơn trước sự đe dọa ngày càng tăng của các mối đe dọa mạng.

Và nếu bạn chưa nghe qua thuật ngữ này, bạn sẽ sớm được làm quan với nó. Gartner dự đoán rằng cuối năm 2020, 30% các tổ chức có đội ngũ bảo mật nhiều hơn năm người sẽ tận dụng các công cụ SOAR vì lý do điều phối và tự động hóa, tăng từ mức dưới 5% như hiện nay.

Do đó, các công ty nên thực hiện thẩm định và có một danh sách những tiêu chí rõ ràng khi lựa chọn một nhà cung cấp điều phối an ninh, để đảm bảo giá trị tối đa từ khoản đầu tư của họ. Mặc dù hầu hết các nhà cung cấp có thể có các tính năng độc đáo của riêng họ, thì vẫn có một số chức năng cốt lõi mà bạn sẽ muốn tìm kiếm trong việc lựa chọn các giải pháp tối ưu cho nhu cầu của mình.

1. Tích hợp các giải pháp bảo mật khác nhau

Khả năng tích hợp các giải pháp bảo mật khác nhau là một đặc điểm cơ bản của phối hợp bảo mật, mặc dù không phải tất cả các giải pháp SOAR đều được tạo ra như nhau. Khi thị trường SOAR hợp nhất, một số sản phẩm SOAR có thể mất giá trị nếu khả năng tích hợp có sẵn của chúng bị hạn chế.

Nhà cung cấp trung lập là chìa khóa ở đây. Hãy tìm một nhà cung cấp SOAR không chỉ hỗ trợ nhiều công cụ bảo mật được sử dụng rộng rãi mà còn giúp việc tích hợp các công cụ này nhanh chóng và dễ dàng. Ngoài ra, hãy xem xét một nền tảng cho phép bạn tạo các quy trình được phối hợp và tự động cho các công cụ mà bạn đã đầu tư, từ cảnh báo và xử lý đến điều tra, khắc phục và cộng tác.

Dưới đây là một số câu hỏi cụ thể bạn nên hỏi một nhà cung cấp SOAR tiềm năng:

• Nhà cung cấp hỗ trợ bao nhiêu tích hợp?
• Nhà cung cấp có hỗ trợ cả môi trường tại chỗ và trên nền tảng đám mây cho những tích hợp đó không?
• Doanh nghiệp có thể thêm hoặc xây dựng tích hợp mới trong thời gian bao lâu?
• Khách hàng sẽ có thể tạo/tùy chỉnh tích hợp của riêng mình?

2. Quy trình tự động với Playbooks

Các công nghệ phù hợp rất quan trọng đối với sự thành công của các nhóm hoạt động bảo mật, nhưng hiệu quả của chúng chỉ tốt như các quy trình tại chỗ để sử dụng chúng. Một thành phần quan trọng cho bất kỳ chương trình SecOps thành công nào là có một bộ playbook tốt, giúp các nhà phân tích bảo mật tạo ra các quy trình phản hồi nhất quán, có thể lặp lại và tự động để hoàn thành các nhiệm vụ, và xác định các công cụ phát sinh nếu cảnh báo mối đe dọa được đưa ra. Ví dụ: quy trình cảnh báo phần mềm độc hại có thể khác với quy trình cảnh báo lừa đảo hoặc lọc dữ liệu v.v…

Mặc dù cơ sở đằng sau playbooks là cho phép tự động hóa các trường hợp sử dụng khác nhau, chức năng của chúng nên được sử dụng nhiều hơn là việc chỉ đưa các công cụ vào các quy trình tự động. Bạn cần cố gắng hợp tác với một nhà cung cấp cung cấp nhiều tính năng để tạo và tùy chỉnh Playbook.

Các câu hỏi đặt ra:

• Nhà cung cấp có bao gồm các playbooks tiêu chuẩn để giúp nhóm của doanh nghiệp bắt đầu hay không?
• Playbooks của nhà cung cấp có thể được tùy chỉnh để đáp ứng các nhu cầu của doanh nghiệp và mức độ tự động hóa mong muốn hay không?
• Việc tạo ra các playbook mới sẽ như thế nào? Dễ dàng hay không
• Nền tảng của nhà cung cấp có hỗ trợ kiểm tra và mô phỏng để đảm bảo hiệu quả của Playbook hay không?

3. Điều tra trực quan

Trong khi một số cảnh báo và tình huống có thể hoàn toàn tự động và sau đó đóng lại, nhưng hầu hết các cảnh báo và tình huống yêu cầu sự phân tích của con người. Để hiểu được về mối đe dọa, các nhà phân tích bảo mật thường rút ra những mẩu thông tin chính từ đống dữ liệu thô khổng lồ, mà họ đã thu thập thủ công từ các cảnh báo, nhật ký, thông tin đe dọa và các nguồn khác. Các nhà phân tích này sau đó phân loại thông tin để có được cái nhìn tổng quan về tình huống, xây dựng cốt truyện và có lẽ khám phá mối quan hệ giữa các sự kiện.

Mặc dù kỹ thuật điều tra này có hiệu quả trong việc hình dung một cốt truyện về mối đe dọa, nhưng thực tế, kỹ thuật phổ biến này phụ thuộc rất nhiều vào các phương pháp thủ công và tốn thời gian, chẳng hạn như đặt mọi thứ lên bảng trắng để phân tích. Hãy tìm một nhà cung cấp dịch vụ bảo mật có các giải pháp phản ánh quá trình điều tra trực quan của nhà phân tích: được củng cố bằng các biểu đồ, mốc thời gian, dòng chảy và biểu đồ của các thực thể có liên quan. Điều này có thể tăng tốc một cách đáng kể thời gian điều tra và phản hồi.

Các câu hỏi đặt ra:

• Giải pháp của nhà cung cấp về khả năng điều tra trực quan là gì?
• Liệu giải pháp chỉ chạy playbook và hy vọng nhà phân tích tìm ra vấn đề, hay nó cũng cung cấp những hiểu biết và hướng dẫn nhà phân tích giải quyết vấn đề đó?
• Làm thế nào các nhà phân tích của doanh nghiệp xây dựng dòng thời gian của một sự kiện bảo mật?
• Mối quan hệ giữa các thực thể (IP, tệp người dùng, v.v…) được thể hiện như thế nào?
• Mức độ chi tiết về mỗi thực thể được thể hiện như thế nào?

4. Trung tâm hoạt động an ninh

Chuyển đổi bảng điều khiển là điều không thể tránh khỏi trong các hoạt động bảo mật, đặc biệt là vì các nhà phân tích thường chạy nhiều công cụ và xử lý các tình huống khác nhau cùng một lúc. Tùy thuộc vào từng thời điểm, một màn hình có thể cô lập máy chủ, trong khi màn hình khác có thể khởi tạo danh sách đen, và màn hình thứ ba tập trung vào tương quan và xu hướng, v.v… Phải chuyển từ bàn điều khiển này sang bàn điều khiển khác trong khi đang cân nhắc các trường hợp không chỉ tốn thời gian, mà còn có thể gây nhầm lẫn.

Tìm kiếm một nhà cung cấp với giao diện giảm thiểu lượng chuyển đổi cần thiết, và đẩy các trường hợp quan trọng nhất lên đầu tiên để nhóm bảo mật có thể cải thiện trọng tâm và ưu tiên giảm thời gian phản hồi và giải quyết.

Các câu hỏi đặt ra:

• Mức độ hoạt động mà nhóm bảo mật có thể quản lý thông qua giao diện như thế nào?
• Làm thế nào để ưu tiên các nền tảng và phân công các tình huống cần giải quyết?
• Giao diện người dùng có quá phức tạp và khó hiểu hay không? Giao diện có yêu cầu một mức độ kỹ năng cần thiết nhất định hay không? Hay là những nhà phân tích của doanh nghiệp có thể trở thành người dùng chuyên gia một cách nhanh chóng?
• Có bất kỳ khả năng hợp tác bao gồm trong nền tảng hay không?

5. Quản lý các tình hướng và nhóm cảnh báo

Mặc dù các công cụ tổng hợp nhật ký và hệ thống giám sát an ninh mạng nâng cao có thể giúp tập hợp dữ liệu bạn cần, bạn vẫn có thể bị gặp khó khăn khi trích xuất các thông tin tích cực thực sự và loại bỏ các thông tin tiêu cực. Ngoài ra, vào bất kỳ ngày nào, một trung tâm hoạt động an ninh có thể bị bao vây với hàng trăm hoặc thậm chí hàng ngàn cảnh báo.

Nếu mỗi cảnh báo trở thành một tình huống riêng và được xử lý bởi một nhà phân tích, hãy nghĩ về tác động quản lý và sự hợp tác cần có để xử lý chúng một cách hiệu quả. Các tình huống được phân tích có chứa nhiều cảnh báo liên quan, và có thể được quản lý, xử lý và đóng chúng chỉ với một nỗ lực duy nhất. Ít nhất, các cảnh báo cần phải được tương quan hóa, bằng cách sử dụng thông tin về mối đe dọa và các nguồn dữ liệu khác để hiểu những gì thực sự xảy ra trước khi có thể tiến hành xử lý sự cố và khắc phục.

Các câu hỏi đặt ra:

• Nhóm nền tảng của nhà cung cấp có cảnh báo liên quan đến các trường hợp có thể quản lý hay không?
• Làm thế nào để nhà phân tích có thể xác định nếu cảnh báo có liên quan hay không?
• Các tình huống được tạo ra từ các cảnh báo như thế nào?
• Có giải pháp sử dụng học máy cho ưu tiên cảnh báo và phân công phân tích hay không?

6. Báo cáo

Nhà cung cấp SOAR sẽ có thể giúp bạn hiểu trung tâm hoạt động an ninh của mình đang hoạt động như thế nào. Từ đó, bạn có thể đưa ra quyết định sáng suốt về mọi thứ, từ quy trình và công cụ đến tải trọng và nhân sự. Vì các bên liên quan khác nhau sẽ muốn xem xét các số liệu và KPI khác nhau, tùy thuộc vào vai trò của họ, giải pháp bạn đã chọn có thể cung cấp thông tin họ yêu cầu mà không tạo gánh nặng cho các nhà phân tích bảo mật của bạn.

Các câu hỏi đặt ra:

• Nhà cung cấp có hỗ trợ chìa khóa trao tay và báo cáo tự động?
• Nhà cung cấp cung cấp khả năng bảng điều khiển như thế nào? Họ có cung cấp mẫu hoặc khả năng tùy chỉnh hay không?
• Doanh nghiệp có thể lập lịch báo cáo để tự động chạy và được phân phối theo lịch trình đã đặt hay không?

Các giải pháp phối hợp bảo mật có thể nâng cao khả năng, hiệu quả và hiệu suất của trung tâm hoạt động an ninh. Tuy nhiên, bạn cần thận trọng trong việc kiểm tra, lựa chọn đối tác cuối cùng của mình, để có thể tối đa hóa giá trị đầu tư của bạn.

Tóm lại, hãy tìm một nhà cung cấp sẽ hợp lý hóa các hoạt động bảo mật của doanh nghiệp, giảm các cảnh báo bị bỏ lỡ và không được điều tra, tăng tốc độ phản hồi, cho phép tạo ra các quy trình nhất quán và có thể dự đoán được, cho phép tăng cường tính minh bạch về số liệu và tăng khả năng trung tâm hoạt động an ninh của doanh nghiệp.

Hợp Trương