衡量安全运营平台的 ROI

白皮书衡量安全编排和响应平台的 ROI 白皮书2SQMVnL (oW5FDh 在薉㕂⨴䐀곭㚖的应用投资安全编排和响应 (SOAR) 平台是一个明智和具有高度战略意义的决策。选择正确平台来构建您的安全运营中心 (SOC)，可能比选择任何单点安全产品更重要。您选择的 SOAR 平台将成为安全基础架构的核心部分，有效地充当安全投资的操作系统。SOAR 平台除了帮助您的 SOC 团队更高效地工作之外，还产生了许多经济效益。本白皮书旨在通过概述一种方法来量化这些好处，以评估您在 SOAR 平台上的投资回报 (ROI)。为什么需要 SOAR 平台？您的安全团队在前线努力工作：识别、分析和减轻您组织面临的威胁。然而，尽管尽了最大努力，团队的警报和案件积压可能每天都在增加。现实是，没有足够的熟练专业人员来分析大多数组织每天面临的大量警报。攻击者已实现工业化。威胁越来越复杂，数量越来越大，在您有机会解决前一次攻击之前，很可能会演变成新的攻击。尽管安全开支有所增加，但在您的环境中，威胁的驻留时间（检测和修复攻击所需的时间）仍在增加。让安全团队面临的挑战更加复杂的现实是，我们的 IT 环境的复杂性不断增加。对于安全性也是如此；三十多年来，我们一直在部署点安全产品。事实上，研究表明，如今有 1500 多家供应商在销售安全产品和服务。另一个严峻的事实是，大多数安全产品缺乏互操作性，导致大量独立的解决方案需要大量人员来维护它们。尽管一些最大的安全供应商提供捆绑产品，但许多组织仍然更喜欢购买同类最佳产品，这是有充分理由的。最终结果是各种不同的安全产品的集合，没有互连性或无法作为单一的统一防御平台发挥作用。您知道有些事必须改变。您已经在人才和技术方面进行了大量的安全投资。您希望通过部署可以最大限度提高效率和规模的工具来更好地利用现有资源，并创建统一的防御系统，实现一加一大于二的效果。SOAR 平台已经成为释放组织安全投资的全部力量来解决这些问题所需的力量倍增器。领先的 SOAR 平台从头开始为特定于安全的自动化和编排而设计，使用逻辑架构统一单点产品，该架构将产品功能抽象为可以使用数字行动手册轻松自动化的安全操作。SOAR 有什么益处？SOAR 平台通过自动化重复的任务、增加团队的努力并允许团队将注意力集中在需要其才能的关键任务决策上，来帮助您更智能地工作。平台可以：• 自动分流事件以消除工作负载中的噪音• 预取威胁情报以支持您的决策• 编排复杂的工作流以提高效率和精度38% 的企业表示，他们一半以上的安全活动通过自动化会更加有效。 – ESG 研究，2016 年SOAR 平台还通过自动检测、调查和响应，帮助您更快地做出响应并减少停留时间。它们帮助您：•如果手动执行，以秒为单位执行操作，而不是分钟、小时或更长时间•使用适用于多个安全产品的特定于安全的操作创建复杂的工作流•快速构建行动手册，无需使用可视化行动手册编辑器进行编码 白皮书3SQMVnL (oW5FDh 在薉㕂⨴䐀곭㚖的应用最后，SOAR 平台通过将您的整个安全基础设施集成在一起来帮助您加强防御，以便每个部分都积极参与您的防御策略。•部署供应商提供的或定制的应用程序集成，以整合您正在使用的所有安全技术•利用一种技术提供的安全数据，使用另一种技术指导和通知下游操作•通过减少平均解决时间 (MTTR) 来提高安全性评估安全自动化解决方案时，首要考虑的是“集成我们技术的能力” – ESG 研究，2016 年除了经济回报之外，部署 SOAR 平台还提高了一致性，因为每次事件都收集相同的数据，每次事件都以相同的方式进行调查。一位 Phantom 客户的投资回报率许多客户在部署 SOAR 平台时从事件响应 (IR) 用例开始。自动调查可疑的网络钓鱼电子邮件是一种常见的情形 - 调查重复性很高，遵循已知的流程，手动执行时会消耗宝贵的分析时间。一位 Splunk Phantom 客户使用该平台自动化了一个需要 90 多分钟才能手动完成的流程。对于该客户来说，典型的一天可能会有多达 45 封网络钓鱼电子邮件供安全团队调查。 此类事件的标准操作程序包括确认收到员工的邮件、分析电子邮件中的恶意指标，以及在电子邮件被确认为网络钓鱼活动的一部分时采取补救措施。从开始到结束，每封可疑的网络钓鱼电子邮件的处理过程可能需要 90 多分钟。使用该客户部署的实际数据和一名一级 SOC 分析师的估计工资数据，我们可以计算出手动处理网络钓鱼调查和响应的成本：重要数据：每天网络钓鱼电子邮件的数量45手动处理每封网络钓鱼电子邮件所需的估计时间90 分钟平均时薪：一级 SOC 分析师139.65 美元计算：处理网络钓鱼电子邮件的每日成本2676 美元处理网络钓鱼电子邮件的每年成本2695,760 美元1 来源：https://www.glassdoor.com/Salaries/security-analyst-salary-SRCH_KO0,16.htm2 假设每周工作五天。实现自动化后，整个过程现在不到一分钟就可以完成，让团队可以将时间集中在不太常规的需要人力进行的调查上。处理网络钓鱼电子邮件所需时间减少了 98%，相当于每年节省 68 万美元以上。尽管仅在日常工作中处理网络钓鱼邮件就可以节省成本，但采用 SOAR 平台后的预期投资回报甚至更高。团队的日常工作意味着要处理 45 封网络钓鱼电子邮件，这对 SOC 团队来说是一项繁重的工作。该 Phantom 客户偶尔也会在一天内看到多达 300 封网络钓鱼电子邮件的突发攻击。使用上面给出的数据，我们还可以估计与处理突发攻击相关的回报。 白皮书4SQMVnL (oW5FDh 在薉㕂⨴䐀곭㚖的应用重要数据：每天网络钓鱼电子邮件的数量 – 突发攻击300每天网络钓鱼电子邮件的数量 – 正常情况45每天的额外网络钓鱼电子邮件 – 突发攻击255手动处理每封网络钓鱼电子邮件所需的估计时间90 分钟平均时薪：一级 SOC 分析师139.65 美元计算：处理额外网络钓鱼电子邮件的每日成本 – 突发攻击15,166 美元处理网络钓鱼电子邮件的每年2 成本 – 突发攻击363,984 美元处理网络钓鱼电子邮件的每年2 成本 – 正常情况695,760 美元处理网络钓鱼电子邮件的每年总成本1,059,744 美元1 来源：https://www.glassdoor.com/Salaries/security-analyst-salary-SRCH_KO0,16.htm2. 假设每月两次突发攻击。3. 来自表 1。处理网络钓鱼电子邮件所需的时间同样减少了 98%，每年节省的总成本相当于 100 多万美元。由于无法“按需”配备额外的分析师来处理突发攻击，而且全职团队缺乏处理这些攻击的能力，因此在突发攻击期间收到的大多数网络钓鱼电子邮件都会被忽略。 考虑到未被检查的事件所产生的潜在违规成本，网络钓鱼问题的真实成本可能会高得多。使用 Phantom 实现自动化后，我们能够在大约 40 秒内处理恶意软件电子邮件警报，而非过去的 30 分钟或更长时间。 – CISO，Blackstone其他哪些用例很重要？虽然 IR 是 SOAR 平台的常见用例，但是像 Splunk Phantom 这样的行业领先平台对于其他用例是开放和可扩展的。这种灵活性使 SOC 团队能够轻松实现各种标准操作程序 (SOP) 的自动化。团队通常首先关注代表他们最大痛点的用例。这些用例的这些过程通常包含许多手动任务，并且需要跨多个产品和部门来完成一个行动手册。虽然采用 SOAR 平台通常可以通过一个用例来证明，但是考虑其他潜在用例仍然很重要。这项工作应该让安全运营团队中的主要利益相关者参与进来。开发全面的安全用例对于确保您今天选择的平台也能支持您未来的需求，并最大限度地提高您的投资回报率非常重要。以下用例也很受欢迎，涵盖调查、富集、遏制和补救类别：警报分类警报分类的目标是验证传入的警报并确定其优先级。专注于分类传入的警报的使用案例包括使用额外的上下文丰富事件。它们还可能包括逻辑，以消除进一步处理中置信度非常高的误报。搜寻妥协指标 (IOC)通过自动搜寻 IOC，团队可以充分利用他们收到的威胁情报，而不是因为资源有限而限制他们搜寻的 IOC。他们也可以实施情报评分来帮助决定使用哪些威胁情报来源。 白皮书© 2019 Splunk Inc.版权所有。Splunk、Splunk>、Listen to Your Data、The Engine for Machine Data、Splunk Cloud、Splunk Light 和 SPL 是 Splunk Inc. 在美国和其他国家/地区的注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。WP-Splunk-Measuring-the-ROI-of-Security-Operations-Platforms-A4-101-zh_cnwww.splunk.com了解更多：www.splunk.com/asksales若要了解有关 Phantom 安全自动化和编排平台的更多信息，请下载免费的 Phantom 社区版或联系销售人员索要更多信息。漏洞管理通过确保每次都以相同的方式执行流程，自动化识别、分类、补救和减轻漏洞的周期不仅可以提高团队效率，还可以获得更一致的结果。网络访问控制 (NAC)SOAR 平台可以增强动态访问控制策略。一个例子是集成以前不属于 NAC 决策逻辑的检测系统。用户管理确保准确、快速和系统地启用和禁用用户，可以消除威胁参与者恶意使用用户帐户的可能性。渗透测试资产发现、分类和目标优先级排序等活动可以自动化，从而提高渗透测试团队的生产率。情报共享拥有情报共享计划的组织可以从自动化辅助行动手册中获益匪浅。自动化还可以提高分析师的工作效率，并以比手动流程更快的速度向社区提供对时间敏感的信息。任何记录良好的标 SOP，只要安全操作团队能够很容易地将自动化标准编码，都是 SOAR 平台的一个很好的候选者。最终，随着平台成本在更多用例中摊销，自动化行动手册的更大集合会带来更好的投资回报。结论SOAR 平台产生了强劲的经济回报，同时帮助组织更智能地工作。通过自动化重复性任务，团队可以通过自动化检测、调查和响应来加快响应速度并缩短停留时间。他们还可以通过将整个安全基础架构集成在一起来加强防御，以便每个部分都积极参与防御策略。无论您是打算从事件响应类别的通用用例开始，还是从不同类别的用例开始，将您的 ROI 作为决策的一部分都非常重要。虽然本文提供了常见用例的概述和评估 SOAR 平台 ROI 的方法，但也有其他资源可用。