Análisis profundo de ARMOR Nivel 3: Respuesta automatizada

En Swimlane, "armadura" adquiere un significado distintivo. Representa la preparación para la automatización y la madurez de los recursos orquestados (ARMOR). En la era actual de la ciberseguridad, Seguridad ARMOR Es la única forma de afrontar el panorama de amenazas de ciberseguridad en constante evolución. Si bien la industria cuenta con numerosos sistemas de detección de amenazas y respuesta a incidentes (TDIR) modelos de madurez centrados en la industria, la industria carecía de un modelo para automatización de seguridad. 

Nuestra búsqueda continua de mejora y el compromiso de ser una parte proactiva de la solución inspiraron la creación de Swimlane. Marco ARMOR. Construido sobre la base de los conocimientos de los clientes y el conocimiento institucional, el marco ARMOR contiene un matriz de madurez. Este elemento aprovecha una escala de cinco niveles para examinar la madurez de la automatización de la seguridad. 

• Nivel 1 – Visibilidad fundamental 
• Nivel 2 – Visibilidad enriquecida 
• Nivel 3 – Respuesta automatizada 
• Nivel 4 – Prevención automatizada
• Nivel 5 – Operaciones automatizadas avanzadas 

En publicaciones anteriores, analizamos las dos primeras fases de los niveles de madurez de ARMOR: Nivel 1: Visibilidad fundamental y Nivel 2: Visibilidad enriquecida. Al visibilidad fundamental Las organizaciones en etapa inicial pueden tener dificultades para establecer estrategias de seguridad, cubrir el personal y obtener el apoyo del liderazgo. A medida que maduran, las organizaciones en la etapa inicial visibilidad enriquecida La lucha por abordar eficazmente las amenazas a la seguridad, la escasez de experiencia del equipo para herramientas de seguridad avanzadas y la fragmentación Operaciones de seguridad visibilidad.

Ahora que comprende ampliamente los dos primeros niveles de ARMOR, centrémonos en el Nivel 3 de ARMOR: Respuesta Automatizada. Continúe leyendo para obtener una descripción detallada de lo que significa para una organización operar en la etapa de respuesta automatizada dentro del marco ARMOR.

Se revela el nivel 3 de ARMOR: Respuesta automatizada 

En la fase de "Respuesta Automatizada", las organizaciones demuestran un alto nivel de madurez en sus prácticas de seguridad. La mayoría de los procesos de seguridad están bien definidos y aprovechan la automatización siempre que es posible. Operaciones de seguridad Los equipos que operan en este nivel poseen habilidades de codificación de nivel medio y muestran una buena capacidad para consolidar registros de seguridad, eventos y alertas. 

Las organizaciones en esta fase están sólidamente preparadas para el éxito de la automatización, ya que demuestran una profunda comprensión de su arquitectura de seguridad, objetivos de seguridad claramente definidos y una profunda alineación con las expectativas de la dirección ejecutiva. A pesar de establecer una sólida base en personal, procesos y tecnología, las organizaciones en esta etapa aún pueden enfrentarse a los siguientes desafíos: 

• Un enfoque de automatización en toda la empresa
• Falta de habilidades de codificación de nivel avanzado en todo el Equipo de SecOps
• Capacidad robusta para consolidar completamente registros, eventos y alertas 

Gente en Respuesta Automatizada:

Las organizaciones que trabajan en el nivel de respuesta automatizada demuestran un dominio avanzado de las herramientas de seguridad existentes. También poseen un conocimiento integral de... Automatización de SecOps Plataforma, arquitectura y capacidades relevantes para casos de uso comunes. El equipo de SecOps de este nivel posee habilidades de scripting que pueden combinarse con tecnología de automatización de bajo código para generar resultados exitosos. Las organizaciones de este nivel priorizan la evaluación y el desarrollo de las habilidades de su equipo en función de sus necesidades de negocio.

Proceso en Respuesta Automatizada:

Lograr un proceso de flujo de trabajo sólido y, al mismo tiempo, alinearlo con los objetivos de toda la empresa nunca es fácil. Aplaudimos a las organizaciones en la fase de respuesta automatizada porque han documentado meticulosamente los procesos de seguridad actuales, garantizando su exhaustividad y alineación con los objetivos organizacionales. Organizaciones similares que se han encontrado en este nivel han logrado avances en la automatización que siguen alineados con los objetivos de la empresa. Es fundamental asignar tiempo y recursos al desarrollo de nuevos procesos. Esto ayuda a acelerar el progreso hacia la siguiente fase de preparación para la automatización (prevención automatizada), mejorar la eficiencia operativa y establecer procedimientos de verificación y medición claros y sólidos. 

Tecnología en Respuesta Automatizada:

Ahora, profundicemos en la tecnología a nivel de respuesta automatizada. En esta fase, se implementan casos de uso parcialmente automatizados y respuestas a alertas. Además, se centralizan los registros de seguridad, eventos y alertas, lo que ofrece una visibilidad integral de toda la organización. El enriquecimiento del contexto mediante la correlación de eventos es evidente en este nivel, automatizando procesos que consumen mucho tiempo y liberando valioso tiempo de recursos para... SOC Operaciones de seguridad Equipos. Para obtener victorias rápidas, el siguiente paso consiste en construir una lógica de automatización que conecte fluidamente los activadores de alertas enriquecidas con las acciones de remediación adecuadas.