转型型 CISO 的安全编排、自动化和响应指南

转型CISO的指南安全业务流程,自动化和响应让安全团队有时间主动采取主动和战略性措施，如何帮助企业创新和蓬勃发展 企业领导者需要转型安全团队首席信息安全官（CISO）的角色正在发生变化。与之前的首席信息官 （CIO） 和首席技术官 （CTO） 一样，首席信息安全官正在从责任组合有限的贡献者发展成为业务转型的高度集成和战略驱动力。最成功的组织认识到真正的数字化和业务转型取决于安全现代化。1普华永道发现，40%的高管正在寻找能够领导跨职能、敏捷团队的首席信息安全官，这些团队不仅要跟上数字化转型的步伐，而且在许多情况下还要指明前进的方向。为信息安全系统协会进行的一项调查显示，世界各地的安全专业人员将沟通和领导技能列为成功CISO的最重要特征。2ISSA 的调查还发现，大多数安全分析师希望承担更具战略性的角色，他们认识到他们需要发展领导力、沟通和商业技能，以成为增长和转型的领导人。1https:// www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/global-digital-trust-insights/cyber-strategy.html2https:// www.issa.org/wp-content/uploads/2020/07/ESG-ISSA-Research-Report-Cybersecurity-Professionals-Jul-2020.pdf23四个品质主管价值最:战略思维 承担明智的风险 领导技能识别和发展创新表的内容企业领导者需要转型安全团队 3从不知所措到控制5生命中的一天的分析师6飙升的ROI 7Norlys:成功与翱翔8现代化安全转换您的业务9 安全分析师知道，要成为组织领导者，他们需要的不仅仅是技术技能。企业战略小组向安全分析师询问了他们有哪些技能需要发展成为首席安全官 （CSO） 或 CISO。来源:企业战略集团从被控制近三分之一的网络安全专业人员告诉国际社会保障协会，跟上“压倒性的工作量”是他们工作中压力最大的部分。这种压倒性的工作量可以数到数百甚至数千— 每天需要确定优先级、调查和响应的警报。12%6%操作技能4%其他22%领导能力管理技能12%技术技能22%商业技能21%沟通技巧但在太多情况下，安全主管和分析人士的战略抱负受到日常现实的阻碍。太多的警报和反应的人实在太少了.无休止的警报的挑战因网络安全人才的短缺而变得更加复杂。根本不够合格的网络安全专业人员，为安全操作配备足够的人员世界各地的中心 （SOC）。这种有据可查的人才缺口，加上每天的警报量，解释了为什么 64% 的安全工单产生了每天都没有工作。3分析师无法解决每个警报，从而使他们的公司容易受到攻击。64%的日常安全警报是没有得到解决4这些挑战的答案是安全编排、自动化和响应 （SOAR）.Splunk SOAR 提供安全编排、自动化和响应功能，使安全分析师能够通过自动执行重复性任务来更智能地工作;通过自动警报分类、调查和响应更快地响应安全事件;提高生产力、效率和准确性;并加强防御通过连接和协调团队和工具中的复杂工作流程。Splunk SOAR 还支持广泛的 SOC 功能，包括事件和案例管理、集成威胁情报、协作工具和报告。3https:// www.splunk.com/en_us/form/an-enterprise-management-associates-research-report.html4https:// www.splunk.com/pdfs/analyst-reports/an-enterprise-management-associates-research-report.pdf45的三大原因被知晓警报是什么阻止了你的组织每天调查和响应所有可疑警报？资料来源:国际数据公司(IDC)组织2500至4999名员工太多警报是误报 调查后，新警报不是自动折叠成现有的事件手动将多个警报合并到单个事件中05102020253035(受访者的百分比) 决定和行动决定和行动生命中的一天的分析师之前和之后的飙升观察电子邮件/钓鱼设备云物联网东方威胁英特尔平台SIEMHadoopGRC每天10000可疑事件与翱翔没有飙升飙升的投资回报率在最近的Ponemon报告中，网络钓鱼的平均年度成本估计几乎是1500万美元。勒索软件的成本也可能很昂贵，并造成持久的声誉损害。幸运的是,飙升的工具可以为你节省时间和金钱5以多种方式。例如，使用 SOAR 解决方案，SOC 中由三名分析师组成的团队可能会受到 10 到 15 名分析师组成的团队的影响，否则这些分析师将手动执行所有任务。“总有一天，你会被现有的工作量所淹没，而这些工作量不会。能够雇用更多的人。人类不可能处理所需的数据量处理，唯一的前进道路是自动化。– Jason Mihalow，McGraw Hill高级云网络安全架构师视图的案例研究Splunk飙升主要仪表板为安全团队提供 SOC 活动、重要事件和行动手册的概述，以及自动化操作的投资回报摘要。自动化 ROI 摘要显示了 SOC 使用自动化时的实时影响，例如节省的时间、节省的资金、获得的 FTE（全职员工）和平均停留时间。每天在每个警报分析师分析师所有层级的分析师大部分时间都花在活性,几乎没有时间战略。借助 SOAR，简化了分析师工作流程，因此分析师可以更快地协作和响应安全事件。时间是无功时间是战略时间是无功时间是战略一级分析师二级分析师一级分析师二级分析师三线分析响应时间:30分钟三线分析响应时间:30秒5https:// www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf67编排协调安全基础架构，以最大限度地发挥人员、流程和工具的价值自动化自动执行重复性安全任务以处理更多警报回应通过自动化和协作更智能、更快速地响应威胁分析师必须手动筛选通过、分析和管理所有传入的日志和警报 结果:•每周35小时的工作保存•30 秒完成曾经需要 30 分钟的流程•少98%的时间开放的门票案例研究Norlys:成功与飙升Norlys 拥有 150 万客户，是丹麦最大的公用事业和电信公司。在构建了自己的日志分析和事件响应系统后，Norlys 安全团队被重复性任务、工具过多、Web UI 缓慢和繁琐的流程所困扰。借助 Splunk，Norlys 实现了重复性任务和集中调查的自动化。视图的案例研究前5名无聊的任务Norlys自动化:现代化安全将你的业务为了让首席信息安全官成为企业所需的战略合作伙伴，以及安全分析师寻找专业发展的机会，编排和自动化至关重要。Splunk SOAR 使安全团队能够充分发挥对安全工具和安全人才投资的潜力。Splunk、Splunk> 和 Turn Data Into Do 是 Splunk Inc. 在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。© 2022 斯普伦克公司保留所有权利。822-20301-Splunk-转型首席信息安全官 SOAR-102 指南91转发名人从Splunk ES飙升从3分钟来2秒2自动化的调查在AV警报从40分钟来10分钟3自动调查来自威胁源的 IOC 命中从15分钟来10秒45自动获取浏览器历史记录的过程从30分钟来20秒自动化售票开放外部系统从10分钟来10秒“自动化正在改变团队传统上使用 SIEM 的方式。我们严重依赖Splunk SOAR和Enterprise Security。它们以非常好的方式相互补充，使我们能够提高整个公司的安全能力。– Tibor Földesi，安全自动化分析师，诺利斯今天试着Splunk飙升