2024年简化您的安全防护运维中心报告

通过统一的自动化平台优先考虑提高效率和加强安全防护 目录 第7页 第1页 IT安全防护是头等大事 利用红帽Ansible自动化平台简化您的安全防护运维中心 第2页什么是安全防护自动化？ 第9页 自动化功能的实际应用：红帽Ansible自动化平台所能带来的业务价值久经验证 自动化集成您的安全防护工具、系统和流程 第10页 第4页安全防护自动化之旅 准备好简化您的安全防护运维中心了吗？ 第5页 用例和集成：规划您的安全防护自动化之路 IT安全防护是头等大事 与安全防护相关的任务一旦需要人工干预，都会变得耗时、繁琐，且容易出错。安全防护团队面对这些任务不堪重负且人手不足，2024年技能熟练的安全防护人员严重短缺的企业所占比例达到53%（2023年，这一比例为42%）¹。2024年，与安全防护技能人员严重短缺相关的漏洞平均成本增长到574万美元，与去年（2023年为536万美元）相比增幅达7.1%¹。 对大多数企业来说，安全防护是头等大事，并且许多首席执行官都对网络威胁感到担忧。这种担忧并非毫无根据：70%曾遇到安全漏洞问题的企业表示，他们的业务因此安全漏洞而受到严重或非常严重的干扰¹。 企业安全防护至关重要，但要出色完成这项任务通常面临重重困难。安全防护团队必须使用通常处于相互竞争状态的供应商提供的多种工具和服务，构建、维护、管理和适应复杂的环境。产品数量年年增多，团队必须随着安全格局改变不断调研、评估和整合新的产品。 不过，越来越多的企业实施自动化和基于AI的解决方案。2024年，广泛使用安全防护AI和自动化解决方案的企业数量所占比例增长到31%¹。无论将AI和自动化应用于何处，这些技术都有助于快速识别和遏制漏洞。2024年，企业通过在关键安全防护领域（预防、检测、调查和响应）广泛使用AI和自动化，缩短了识别和遏制数据漏洞所需的平均时间，其中数据泄露平均响应时间缩短了33%，防范数据泄露的平均时间缩短了43%¹。与未在关键安全防护领域使用自动化和AI技术的企业相比，广泛使用这些技术的企业还显著降低了数据泄露的平均成本¹。 此外，安全漏洞问题的严重性和成本不断攀升。与去年相比，2024年的业务损失和数据泄露响应成本提高了近11%¹，数据泄露的平均成本增长到488万美元（2023年为445万美元）¹。 无效安全防护带来的影响 安全漏洞问题的数量、严重性和成本不断攀升。 488万美元2024年全球数据泄露平均成本达488万美元1 三分之一涉及影子数据的数据泄露次数所占比例达三分之一¹ 26.2%网络技能方面的缺口增幅达26.2%¹ 46% 涉及客户个人数据的数据泄露次数所占比例达46%¹ 499万美元内部人员恶意攻击的平均成本为499万美元¹ 292天 识别并遏制与被盗凭据相关的漏洞所需的天数为292天¹ 什么是安全防护自动化？ 所谓安全防护自动化，就是自动执行与保障业务安全相关的手动任务。它包括多种实践方法，具体可划分为四大类： 响应和修复 由事件驱动的活动，需要安全防护分析师的参与和/或指导。 安全防护运维 由技术团队基于安全防护基础架构执行的日常流程和策略驱动的活动。 进一步了解安全防护合规和强化 安全防护合规 旨在确保基础架构符合安全防护策略和规范要求的活动。 阅读以下资源，了解自动化对安全防护合规和强化的帮助： 强化 •《增强混合云安全性》电子书•利用自动化增强安全性：红帽客户成功案例•用例：红帽Ansible自动化平台助力安全防护自动化 用于将自定义安全防护策略应用到基础架构的活动，具有有针对性的意图和目标。 本电子书重点关注对响应和修复活动及安全防护运维进行自动化。 AI和自动化在安全防护运维、响应和修复活动方面的优势 降低数据泄露的风险和成本 大规模增强安全性 提高速度和效率 在安全防护基础架构中应用自动化可以加强一致性，让您以对安全性做到统筹兼顾。每名员工都能管理更多的工具、设备和系统，因此您可以开展大规模运维活动。自动化也能降低人为出错风险，提高准确性。 自动化能够简化任务，剔除人工干预的需求，加快安全防护运维速度，并让员工重新聚焦于高价值行动计划。与完全不使用安全防护AI和自动化的企业相比，广泛使用这些技术的企业在识别和遏制数据泄露问题方面的用时平均快了近100天¹。 未使用AI和自动化的企业数据泄露平均成本为572万美元，而广泛使用AI和自动化的企业数据泄露平均成本为384万美元，相比之下，使用这两种技术的企业节省了188万美元¹。相应地，使用AI和自动化的企业数量也在不断增加：根据今年的研究，使用安全防护AI和自动化的企业数量所占比例从2023年的28%增长到31%。 自动化集成您的安全防护工具、系统和流程 成功的自动化=人员+流程+平台 通过一致且灵活的平台，将人员、流程和工具整合到一起 最大程度提高自动化价值需要的不仅仅是工具，您还需要考虑人员、流程和平台。 自动化平台可用作您的安全防护团队、工具和流程之间的集成层。灵活且可互操作的平台让您能够实现以下目标： •人员是任何业务行动计划的核心。员工积极参与团队内和跨团队活动，可以更加高效地共享理念并开展协作。•流程让您企业中的项目从头至尾顺利开展。有效自动化离不开条理清晰、记录完善的流程。•自动化平台提供相应的功能来帮助您构建、运行和管理自动化资产。与简单的自动化工具相比，自动化平台让您的企业获得统一的基础，可以大规模创建、部署和共享一致的自动化内容与知识。 •将安全防护系统、工具和团队整合到一起。•从系统收集信息并将它高效地转到预定义的系统和位置，无需人工干预。•从集中式界面轻松更改和传播配置。•创建、维护和访问与您的安全防护工具和流程相关的定制自动化内容。•在检测到威胁时自动触发多个安全防护工具的操作。 在企业内使用一致的自动化平台和语言还可以增强沟通和协作。如果安全防护产品组合中的所有解决方案都通过同一语言进行自动化，分析师和操作员就能在不同的产品间迅速执行一系列操作，最大程度提升安全防护团队的整体效率。此外，通用的框架和语言还能让安全防护和IT团队在企业内外轻松地共享设计、流程和想法。 安全防护自动化之旅 在企业的任何层面实施自动化不会一蹴而就，也不适合孤注一掷。安全防护自动化是一段旅程。每个企业将根据自己的需求，在不同的节点开启或停止安全防护自动化之旅。这些需求也决定了每个企业可以采取的路径。尽管如此，不论您处于旅程中的哪个阶段，即使在安全防护自动化领域投入少许力量也能产生效益。 评估您的安全防护自动化成熟度级别 安全防护成熟度分为3个主要阶段，大多数企业都能归入其中一个阶段。确定企业当前所处的阶段可以帮助您在恰当的时机采用正确的工具和流程，确保您的自动化之旅更加圆满。 阶段1：化挑战为机遇 第3阶段：制度化 第2阶段：系统化 这个阶段的重点是通过自动化安全防护运维来节省时间。常见的目标包括标准化相似设备和技术之间的安全防护操作，以及简化在来自不同供应商的产品之间执行的手动任务。 这个阶段的重点是通过采用一系列安全防护运维工具和服务来改进流程并提高效率。常见的目标包括将安全防护流程构建为更高层次的工作流，并且集中处理安全防护响应流程。 这个阶段的重点是在企业内加强协作并集成安全防护。常见的目标包括创建自动化的编程式工作流，以覆盖安全防护的所有层面，也包括集成您的安全防护和IT技术。 用例和集成定义您的路径实现 安全防护自动化的常见高级用例 安全防护自动化 这些用例中的每一个都可以作为您安全自动化旅程的起点。关键是从小处着手，从简单开始，再日积月累。 调查详实 调查安全警报和事故涉及从各类安全防护系统收集信息，以评估是否发生了合理的事件。信息通常通过一系列用户界面、电子邮件和通话来收集。这样的低效率流程可能会延误抵御威胁的行动，让企业停留在易受攻击的境地，并且增加与数据泄露相关的潜在成本。通过自动化，您可以用编程方式从各种安全防护系统汇总信息，并以按需辅助的方式来支持通过安全信息和事件管理（SIEM）系统执行的分类活动。如此一来，您可以更高效地评估和响应警报与事故。 搜寻威胁 搜寻威胁涉及以主动的方式来识别和调查潜在安全威胁。与事故调查一样，员工在许多系统之间手动收集和发送信息。借助自动化，您可以自定义和简化警报、相关搜索和签名操作，迅速检查潜在威胁。此外，您还能自动创建和更新SIEM相关查询及入侵检测系统（IDS）规则来改进检测。这样，您可以更加频繁、更有效率地更新企业的安全防御举措，为业务提供更好的防护。 事故响应 事故响应涉及采取措施来阻止泄露继续发生。检测到数据泄露时，安全防护员工必须快速响应，并通过规模化手段将其控制。然而，响应举措通常包含多项人工任务，这延缓了修复时间，并让企业在更长时间内处于易受攻击的状态。借助自动化，您可以将各种操作编写为可重复执行并且预获批准的playbook，从而迅速响应。您可以加速执行各种任务，如拦截发出攻击的IP地址或网域，允许没有威胁的流量，冻结遭到泄露的凭据，以及隔离可疑工作负载以作进一步调查，从而减轻与事故相关的损害。 集成至关重要 安全信息和事件管理系统，用于收集和分析安全事件以帮助检测威胁并做出响应。自动化可以提供对数据源的编程化访问。 统一的自动化方法需要在您的自动化平台和安全防护技术之间进行集成。必要的集成包括： 防火墙，用于控制网络之间的流量流，以保护向互联网公开的应用。自动化可以加快执行策略和日志配置变更。 特权访问管理（PAM）工具，用于监控和管理特权帐户和访问。自动化可以简化凭据管理。 入侵检测与防护系统（IDPS），用于监控网络流量中的可疑活动，发布威胁警报并阻止攻击。自动化可以简化规则和日志管理。 端点防护系统，用于监控和管理设备以增强其安全性。自动化可以简化常见的端点管理任务。 利用红帽Ansible自动化平台 简化您的安全防护运维中心 可用的自动化解决方案有许多，但并非全部包含有效安全防护自动化所需要的功能。寻找具备以下特征的自动化平台： •通用的、易于访问的自动化语言。 语言要易于理解和编写，从而方便您记录信息，并在具有不同专业领域的安全防护团队成员之间共享。 •开放且公正的方法。 为了有效发挥自动化平台的作用，该平台必须能与您的整个安全防护基础架构和供应商生态系统进行交互操作。 •可扩展的模块化设计。 模块化的平台允许您逐步部署自动化。可扩展性则有助于您日后根据需要整合来自其他供应商的额外安全防护工具。 在红帽的帮助下推动企业实现安全防护自动化 •串联工作流和playbook以实现模块化可重用性。•整合和集中管理日志。•支持本地目录服务和访问控制。•利用RESTful应用编程接口（API）集成外部应用。 红帽® Ansible®自动化平台是构建和运维自动化服务的基石，提供所有的必要工具和功能来帮助您实施安全防护自动化。将简单、易读的自动化语言与可信、可组合的执行环境相结合，同时融合了以安全为重的共享和协作功能。拥有开放的基础让您几乎能够连接和自动化您的安全防护与IT基础架构中的一切，打造一个通用的平台供整个企业参与和共享。红帽Ansible自动化平台也在其他方面提供切实的成果，如IT和网络运维以及DevOps等。 红帽Ansible自动化平台也包含协助您优化自动化的工具和功能。自动化分析提供有关企业的自动化使用情况的深入见解。自动化中心让团队成员通过一个中央存储库访问认证的自动化内容。另外，内容集合可以简化自动化资产的管理、分发和使用。 该平台附带一系列以安全性为中心的Ansible集合，包括各种模块、角色和playbook，受到红帽的支持。这些资产可以协调多类安全防护解决方案的活动，从而以更加统一的方式来响应网络威胁和安全防护运维： 获取专家的帮助 红帽可以帮助您以更快的速度圆满部署自动化。 •红帽服务计划：自动化采用提供了一个掌控企业范围内自动化之旅的框架