回到基础:什么是安全编排?

来源：https://www.siemplify.co/blog/what-is-security-orchestration/

有些事情是相辅相成的。花生酱和果冻。杜松子酒补剂。培根和更多的培根。安全自动化和安全编排也是如此。以至于这两个词经常可以互换使用。然而，就像花生酱永远不会是果冻一样，安全编排和安全自动化不是一回事。

最简单的安全编排是网络安全技术和流程生态系统的连接和集成。对于今天的SOCs来说，这个概念似乎比以往任何时候都更加难以捉摸，也更加必要。

一、SOC中的安全编排

绝大多数安全操作中心通常都有数十种安全工具来检测、调查和纠正威胁。因为组织有倾向于投资于最好的工具，所以大多数团队不得不去管理彼此之间不交流的工具。这本身就带来了大量的效率低下和时间浪费，因为企业组织中的安全分析人员和受管理的安全服务提供者(mssp)都要浏览多个屏幕并学习各种系统来有效地完成他们的工作。

随着多种安全工具的出现，每天都会出现大量的日志和警报。保守估计，一般的企业每月看到10,000个警报，而托管安全服务提供商(mssp)发现他们的分析师平均每天花费5个小时来调查安全警报。

二、安全编排的六个元素

目前面临的技术挑战是在许多soc中普遍缺乏记录的安全运营流程。团队已经习惯于依靠部落知识，在调查、分类和补救安全事件时自己填补空白。我们提到过这些任务大部分是手工完成的吗?难怪调查要花更长的时间，步骤被遗漏，每个事件的处理方式都不一样。通过将不同的工具组合在一起，使它们彼此协同工作，并对围绕这些技术的流程进行编码和流线化，安全编排解决了这些挑战。

那么，安全编排实际上为安全操作团队做了什么呢?我们很高兴你这么问。六个元素构成了任何良好的安全编排解决方案。

2.1超越警报

在调查安全警报时，上下文是一切。假设您有一个用户收到了可疑的钓鱼邮件。这个警报本身并不能告诉你多少。你得戴上侦探帽，开始寻找其他线索。

它来自于什么IP ?

其他用户是否收到来自同一IP的电子邮件?

威胁情报怎么说?

这样的例子不胜枚举。

这些问题的答案对于判断你面对的是真正的威胁还是假阳性至关重要。这就是安全性编排的用武之地。这些平台能够通过聚合来自整个生态系统中各种来源的相关数据来应用上下文，从而丰富各个警报。

2.2工作的情况

通过应用上下文，分析人员能够从管理来自各个系统的警报到在案例级别上调查和纠正安全问题。管理案例可以为安全运营团队节省大量时间，因为分析师通常能够在一个案例中处理多个警报，所有警报都在一个位置。

继续我们怀疑的钓鱼示例，安全编排将允许SOC快速分析、分类和纠正所有共享源IP的实体。假设组织中有7个人收到了类似的邮件。SIEM警报、用户信息、威胁情报细节、web日志、漏洞数据以及更多信息都将被分组，以便分析人员在单一地点作为单一案例进行工作。

2.3安全CSI

你知道每个警匪片里的场景吗，队员们站在一块板前，板上有证据的图片，嫌疑犯们都是用绳子和图钉画出来的。安全分析师大致遵循相同的思维过程，经常用白板标出威胁中涉及的各种步骤、实体和关系。

对于研究我们的钓鱼示例的团队来说，这将是一个重要的步骤，而且考虑到所涉及的手工工作量，这是一个非常耗时的步骤。使用安全编排，团队将能够在平台内部使用深入到案例的每个元素的图和时间表来执行这种类型的交互式、高度可视化的调查。

2.4自动化、自动化、自动化

嘿，看——自动化!我们说过，自动化和编制不是一回事。然而，自动化在任何安全编排构造中都扮演着重要角色。当应用自动化时，通常由安全分析人员采取的操作将被自动处理。当将自动化应用于定义良好并以剧本形式记录的安全流程时，它可以产生特别积极的影响。

我们调查钓鱼邮件的团队将会从围绕这种威胁的自动化剧本中受益。钓鱼游戏手册中的多个步骤——从收集数据和分析附件，到查询或黑名单哈希或url——都可以从自动化中受益。然后，分析人员被留下来管理流程中需要他们的专家关注的部分，并且可以在一小部分时间内完成案例，而不是手工完成每个步骤。

2.5团队合作才能实现梦想

调查和纠正网络安全事故很少是一项单独的工作。一级分析师通常需要升级为二级和三级人员。经理和CISOs需要可见性和在需要时介入的能力。当出现重大漏洞时，SOC以外的其他职能——法律、人力资源、行政管理——就会介入。安全编排提供了一种协作机制，它不仅打破了各种安全技术之间的竖井，还为安全流程和运行它们的人员提供了一个中心。

2.6怎么样了?

与任何技术一样，安全编排只有在按预期工作时才有用。度量和kpi对于SOC团队来说是出了名的难——这时他们就知道要度量什么以及如何从各种工具中最好地提取报告。事实证明，“我们不认为我们今天被攻破了”并不是一个可以接受的安全团队效能的指标。

从本质上讲，安全编排支持健壮的报告和业务智能，因为它将完全不同的工具和流程组合在一起。有了清晰的度量标准，团队可以确定进一步改进日常工作流程的方法，以减少响应时间并增加他们可以处理的案例数量。而且，管理层能够更好地展示组织的安全投资的ROI。

熟悉安全编排的人都知道，安全编排及其优点远远超出了简单的自动化，可以将安全操作使用的各种工具和技术结合在一起。是的，很容易理解为什么要同时使用编配和自动化——它们当然是相辅相成的。真的，你想要一个不带另一个吗?