转型CISO的指南 安全业务流程,自动化和响应 让安全团队有时间主动采取主动和战略性措施,如何帮助企业创新和蓬勃发展 四个品质主管价值最: 战略思维承担明智的风险领导技能 识别和发展创新 I 表的内容 企业领导者需要转型安全团队3 从不知所措到控制5 生命中的一天的分析师6飙升的ROI7 Norlys:成功与翱翔8 现代化安全转换您的业务9 企业领导者需要转型安全团队 首席信息安全官(CISO)的角色正在发生变化。 与之前的首席信息官(CIO)和首席技术官(CTO)一样,首席信息安全官正在从责任组合有限的贡献者发展成为业务转型的高度集成和战略驱动力。最成功的 组织认识到真正的 SSA的调查还发现,大多数安全分析师希望承担更具战略性的角色,他们认识到他们需要发展领导力、沟通和商业技能,以 成为增长和转型的领导人。 数字化和业务转型取决于安全现代化。1 普华永道发现,40%的高管正在寻找能够领导跨职能、敏捷团队的首席信息安全官,这些团队不仅要跟上数字化转型的步伐,而且在许多情况下还要指明前进的方向 。为信息安全系统协会进行的一项调查显示,世界各地的安全专业人员将沟通和领导技能列为成功CISO的最重要特征。2 1https://www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/global-digital-trust-insights/cyber-strategy.html2https://www.issa.org/wp-content/uploads/2020/07/ESG-ISSA-Research-Report-Cybersecurity-Professionals-Jul-2020.pdf 23 安全分析师知道,要成为组织领导者,他们需要的不仅仅是技术技能 。 企业战略小组向安全分析师询问了他们有哪些技能需要发展成为首席安全官(CSO)或CISO。 来源:企业战略集团 从被控制 近三分之一的网络安全专业人员告诉国际社会保障协会,跟上“压倒性的工作量”是他们工作中压力最大的部分。这种压倒性的工作量可以数到数百甚至数千 —每天需要确定优先级、调查和响应的警报。 12% 管理技能 4% 6%其他 操作技能 22% 领导能力 12% 技术技能22% 商业技能 21% 沟通技巧 但在太多情况下,安全主管和分析人士的战略抱负受到日常现实的阻碍。太多的警报和反应的人实在太少了. 无休止的警报的挑战因网络安全人才的短缺而变得更加复杂 。根本不够 合格的网络安全专业人员,为安全操作配备足够的人员 世界各地的中心(SOC)。这种有据可查的人才缺口,加上每天的警报量,解释了为什么64%的安全工单产生了每天都没有工作。3分析师无法解决每个警报,从而使他们的公司容易受到攻击。 64% 的日常安全警报是没有得到解决4 这些挑战的答案是安全编排、自动化和响应(SOAR) .SplunkSOAR提供安全编排、自动化和响应功能,使安全 分析师能够通过自动执行重复性任务来更智能地工作;通过自动警报分类、调查和响应更快地响应安全事件;提高生产力、效率和准确性;并加强防御 通过连接和协调团队和工具中的复杂工作流程。SplunkSOAR还支持广泛的SOC功能,包括事件和案例管理、集成威胁情报、协作工具和报告。 的三大原因被知晓警报 是什么阻止了你的组织每天调查和响应所有可疑警报? 资料来源:国际数据公司(IDC) 组织2500至4999名员工 太多警报是误报调查后,新警报不是 自动折叠成现有的事件 手动将多个警报合并到单个事件中 0 5 10 20 20 25 30 35 (受访者的百分比) 3https://www.splunk.com/en_us/form/an-enterprise-management-associates-research-report.html4https://www.splunk.com/pdfs/analyst-reports/an-enterprise-management-associates-research-report.pdf 45 生命中的一天的分析师 之前和之后的飙升 物联 网 云 设备 电子邮件/钓鱼 观察 东方 威胁英特尔平台 SIEM Hadoop GRC 每天10000可疑事件 飙升的投资回报率 在最近的Ponemon报告中,网络钓鱼的平均年度成本估计几乎是 1500万美元。勒索软件的成本也可能很昂贵,并造成持久的声誉损害。 幸运的是,飙升的工具可以为你节省时间和金钱5以多种方式。例如,使用SOAR解决方案,SOC中由三名分析师组成的团队可能会受到10到15名分析师组成的团队的影响,否则这些分析师将手动执行所有任务。 “总有一天,你会被现有的工作量所淹没,而这些工作量不会。能够雇用更多的人。人类不可能处理所需的数据量 处理,唯一的前进道路是自动化。 –JasonMihalow,McGrawHill高级云网络安全架构师视图的案例研究 与翱翔 编排 协调安全基础架构,以最大限度地发挥人员、流程和工具的价值 自动化 自动执行重复性安全任务以处理更多警报 回应 通过自动化和协作更智能、更快速 地响应威胁 每天在每个警 报 没有飙升 分析师必须手动筛选通过、分析和管理所有传入的日志和警报 Splunk飙升主要仪表板为安全团队提供SOC活动、重要事件和行动手册的概述,以及自动化操作的投资回报摘要。自动化ROI摘要显示了SOC使用自动化时的实时影响,例如节省的时间、节省的资金、获得的FTE(全职员工)和平均停留时间。 分析师分析师 决定和行动 决定和行动 所有层级的分析师大部分时间都花在 活性,几乎没有时间战略。 借助SOAR,简化了分析师工作流程,因此分析师可以更快地协作和响应安全事件。 时间是无功 时间是战略 时间是无功 时间是战略 一级分析师二级分析师 一级分析师二级分析师 三线分析响应时间: 30分钟 三线分析响应时间: 30秒 5https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf 67 前5名无聊的任务Norlys自动化: 借助Splunk,Norlys实现了重复性任务和集中调查的自动化•每周35小时的工作保存 。•30秒完成曾经需要30分钟的 视图的案例研究流程 •少98%的时间开放的门票 3 自动调查来自威胁源的IOC命中 从15分钟来10秒 案例研究 Norlys:成功与飙升 Norlys拥有150万客户,是丹麦最大的公用事业和电信公司。在构建了自己的日志分析和事件响应系统后,Norlys安全团队被重复性任务、工具过多、WebUI缓慢和繁琐的流程所困扰。 结果: 1 2 转发名人从SplunkES飙升 从3分钟来2秒 自动化的调查在AV警报 从40分钟来10分钟 4 5 自动获取浏览器历史记录的过程 从30分钟来20秒 自动化售票开放外部系统 从10分钟来10秒 “自动化正在改变团队传统上使用SIEM的方式。我们严重依赖SplunkSOAR和EnterpriseSecurity。它们以非常好的方式相互补充,使我们能够提高整个公司的安全能力。 –TiborFöldesi,安全自动化分析师,诺利斯 现代化安全将你的业务 为了让首席信息安全官成为企业所需的战略合作伙伴,以及安全分析师寻找专业发展的机会,编排和自动化至关重要。SplunkSOAR使安全团队能够充分发挥对安全工具和安全人才投资的潜力。 今天试着Splunk飙升 Splunk、Splunk>和TurnDataIntoDo是SplunkInc.在美国和其他国家/地区的商标和注册商标。所有其他品牌名称 、产品名称或商标均属于其各自所有者。©2022斯普伦克公司保留所有权利。 822-20301-Splunk-转型首席信息安全官SOAR-102指南9