응답 자동화는 단거리 경주가 아니라 마라톤입니다

보안 전문가가 다루는 상수 중 하나는 많은 양의 경고입니다. 노이즈를 걸러내고 중요한 이벤트에 도달한 후에도 그 숫자는 일반적으로 보안 팀이 정상적인 근무 시간에 처리할 수 있는 것보다 훨씬 많습니다. 숙련된 전문가의 필요한 인원을 확보하는 데 예산을 사용할 수 없거나 심지어 교육을 받을 수 있는 전문가와 숙련된 전문가를 혼합하여 확보할 수 없기 때문에 보안 리더는 순전히 많은 이벤트를 처리하는 데 도움이 되는 자동화를 포함하도록 대응 계획을 발전시키고 있습니다.

대응 자동화의 다양한 단계와 이 프로세스 전반에 걸쳐 보안 팀이 고려해야 할 사항에 대해 자세히 살펴보겠습니다. 이러한 개념을 설명하기 위해 다음 시나리오 및 응답을 고려하십시오.

시나리오 1: 잠재적 내부자 위협
금융 서비스 회사의 IT 관리자 자격 증명은 이전에 손대지 않은 시스템에 액세스하고 수정하는 데 사용되고 있습니다. 이것은 잠재적인 내부자 위협에 대한 조기 경고일 수도 있고 전혀 아무것도 아닐 수도 있습니다. 비정상적인 활동은 모바일 장치에서 IT 관리자와 감독자에게 푸시 알림을 보내는 플레이북을 트리거합니다. Active Directory에서 사용자 자격 증명을 비활성화하거나 ServiceNow에서 티켓을 열어 추가 조사를 수행할 수 있습니다.

시나리오 2: 권한 있는 액세스 이상
고위 경영진의 특권 자격 증명이 비정상적인 지역에서 회사 정보를 조작하는 데 사용되고 있습니다. 인시던트는 잠재적인 위협을 포함하고 보안 팀에 알리는 플레이북을 트리거합니다. 자격 증명의 권한이 제한되고 푸시 알림이 보안 관리자에게 전송되고 Slack에 메시지가 전송되어 보안 팀이 활동의 적법성을 확인할 수 있도록 알립니다.

시나리오 3: 복잡한 침해 지표
의료 클리닉의 환자 입원 시스템이 알려진 랜섬웨어 공격 캠페인과 일치하는 비정상적인 PowerShell 활동을 보여주고 있습니다. 사고는 즉시 플레이북을 트리거하여 손상된 호스트를 격리하고 다른 호스트로 확산되는 것을 방지하기 위해 에지에서 외부 소스로부터의 통신을 차단합니다.

Analysis
첫 번째 시나리오는 대응 계획에서 자동화를 탐색하는 초기 단계에 있는 조직의 예입니다. 보안 제어에 대한 변경 사항을 실행하기 전에 사람의 안내에 따라 결정을 내릴 수 있습니다. 이 경우 자격 증명 사용자를 비활성화합니다. 또한 팀이 더 자세히 조사할 수 있는 티켓을 엽니다. 이 단계에서 조직은 자산의 중요도를 알고 있는지 확인하고 대응 자동화를 확장하기 위해 자산을 "중요"로 분류하기를 원할 것입니다.

두 번째 시나리오는 자동화를 수용하기 시작한 조직의 예입니다. 권한을 좀 더 제한적으로 자동 조정하도록 보안 제어를 트리거하는 조건이 있습니다. 이를 통해 사용자는 여전히 내부 리소스에 액세스하고 조사자가 이상 현상이 유효한 활동인지 확인하는 동안 생산성을 유지할 수 있습니다. 이 단계에서는 조사가 진행되는 동안 보안 제어에 대한 작업을 실행할 수 있는 확신을 가질 수 있도록 동일한 유형의 사건과 동일한 유형의 작업이 충분히 있었을 것입니다.

세 번째 시나리오는 자동화를 완전히 수용하는 회사를 보여줍니다. 충족된 일련의 조건이 있으며 자동화된 시스템은 전파 및 pwn3d 가져오기를 방지하기 위해 호스트 및 에지 보안 제어에서 조치를 자동으로 실행했습니다. 속도가 매우 중요했기 때문에 영향을 받는 시스템의 추가 포렌식 및 강화를 수행하도록 적절한 이해 관계자에게 일종의 알림이 있을지라도 인간의 결정 지점은 없었습니다.

이러한 각 시나리오에는 보안 관리자에게 사건을 알리고 보안 제어를 조정하는 등 여러 작업이 필요합니다. 자동화된 응답을 구현하기 시작하는 대부분의 조직은 보안 제어에 대한 조치가 비즈니스를 방해하는 의도하지 않은 결과를 가져오지 않을 것이라는 확신이 들 때까지 조건이 충족될 때 직원에게 알리는 것으로 시작합니다. 그런 다음 의미가 있는 곳에서 점진적으로 자동화를 구현합니다. 궁극적으로 성공적인 조직은 보안 태세에 만족하고 자체적인 속도로 제어를 채택하여 보안 요구 사항을 해결하기 위해 프로세스 자동화와 인간 상호 작용의 균형을 맞춥니다.

출처: https://www.darkreading.com/emerging-tech/automating-response-is-a-marathon-not-a-sprint

생성 데이터 인텔리전스

응답 자동화는 단거리 경주가 아니라 마라톤입니다.

🔴이더리움 ETF 지연 | 이번 주 암호화폐 소식 - 11년 2024월 XNUMX일

아플 때와 건강할 때: 힘과 희망을 찾기 위한 간병인 가이드 – 월드 뉴스 보고서 – 의료용 마리화나 프로그램 연결

최신 인텔리전스

Clean Group, 시드니 CBD에 새 사무실 위치 발표 및 향상된 상업용 청소 서비스 – 월드 뉴스 보고서 – 의료용 마리화나 프로그램 연결

2024년 수익 극대화: ValueZone.AI 종합 살펴보기

영국 국방부 장관, 이탈리아가 우크라이나에 스톰 섀도우 미사일을 공급했다고 밝혔습니다

생방송: SpaceX, Cape Canaveral에서 Falcon 23 비행으로 9개의 Starlink 위성 발사

Islanders가 5차전에서 승리하는 데 필요한 세 가지 열쇠

레이커스는 덴버를 상대로 탐나는 승리를 거두었고, 현재 시리즈에서 3-1로 패했습니다.