#RSAC365: Wie Sie die nächste Stufe der Sicherheitsautomatisierung erreichen

  • Tomasz Bania, Cyber-Defense Manager bei Dolby, sprach auf dem RSAC 365 Virtual Summit darüber, wie Unternehmen von der manuellen Ausführung der Sicherheitsgrundlagen zur Implementierung einer vollständigen End-to-End-Sicherheitsautomatisierung übergehen können.

    Bania erklärte, dass die Menge an Arbeit, die Sicherheitsteams bewältigen müssen, rapide ansteigt, ohne dass sie über die entsprechenden Werkzeuge oder das Personal verfügen, um Schritt zu halten.

    Darüber hinaus steigt das Volumen der Warnmeldungen, die bei den Sicherheitsteams eingehen, “ohne dass die qualifizierten technischen Ressourcen, die uns zur Verfügung stehen, entsprechend wachsen”, so Bania weiter.

    Durch den Einsatz von Sicherheitsautomatisierung gibt es “eine Möglichkeit, das Monotone zu automatisieren und Dinge zu bringen, die viel interessanter für sie sind [security professionals] so dass sie engagierter sind und sich innerhalb der Organisation mehr wertgeschätzt fühlen.”

    Wenn es darum geht, die Automatisierungsfähigkeiten einer Organisation zu messen, schlägt Bania ein fünfstufiges Framework vor: Manuelle Verarbeitung Begrenzte Orchestrierung und keine Automatisierung Erhebliche Orchestrierung und etwas Automatisierung Vollständige Orchestrierung und signifikante Orchestrierung End-to-End SOAR-Implementierung

    Die fünfte Stufe ist das Ziel, wenn es darum geht, eine vollständig automatisierte Sicherheit zu erreichen, so Bania. Sie ermöglicht es Unternehmen, den gesamten Sicherheitsprozess zu automatisieren, von der Identifizierung bis zur automatisierten Handhabung und Berichterstattung.

    Um eine solche ganzheitlich automatisierte Sicherheitsposition zu erreichen, riet Bania Organisationen, einer inkrementellen Prozessrichtlinie zu folgen und mit Maßnahmen zu beginnen, die in den ersten 30 Tagen zu erreichen sind.

    “In den nächsten 30 Tagen sollten Sie Ihre bestehenden manuellen IR-Prozesse validieren”, sagte er. “Wenn Sie dies als Stammeswissen halten, sollten Sie anfangen zu dokumentieren, was diese Prozesse sind.”

    Sobald dies erreicht ist (wahrscheinlich um die 90-Tage-Marke herum), ist der nächste Schritt, “Ihren einzelnen oder heuristischen Bewertungsalgorithmus zu entwickeln” und ihn auf die wichtigsten Aspekte in Ihrem Unternehmen zuzuschneiden, so Bania.

    Als Nächstes, zwischen 90 und 180 Tagen, “validieren Sie Ihre Scoring-Effizienz mit manueller Analyse” und “gehen Sie zur Entwicklung Ihres ersten maschinellen Lernmodells über”.

    “Sobald Sie Ihr erstes maschinelles Lernmodell entwickelt haben, ist eines der wichtigsten Dinge, die Sie tun wollen [at the 180+ day stage] ist die Durchführung eines Backtests dieses Modells im Vergleich zu Ihren Vor-Automatisierungs-Datensätzen, wenn Sie diese zur Verfügung haben.”

    Zum Abschluss sagte Bania: “Je früher Sie mit der Dokumentation von Alarmen, Ereignissen und Metadaten für die zukünftige Analyse beginnen können, desto größer ist die Chance, dass Sie dieses Machine-Learning-Modell schnell und effektiv entwickeln können.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com