Visibilidad enriquecida: comprenda el nivel 2 de ARMOR

En el mundo de la ciberseguridad, cada tarea manual es una carga. Impulsar las operaciones de seguridad (Operaciones de seguridad) la competencia, el fortalecimiento de la postura de seguridad y la gestión de tecnologías complejas de ciberseguridad pueden parecer imposibles. En Swimlane, reconocemos que las organizaciones no pueden mejorar lo que no pueden medir, por lo que buscamos contribuir a la solución proporcionando la orientación, la estructura y las mejores prácticas necesarias para elevar el rendimiento de cualquier organización. automatización de la seguridad viaje. Esto condujo a la creación del programa de preparación y madurez de automatización de recursos orquestados de Swimlane. (ARMOR) marco.

Una década de conocimientos, conocimiento institucional y prácticas ejemplares de nuestros clientes más exitosos es lo que sustenta el marco ARMOR. Consiste en... matriz de madurez. Los niveles de madurez están alineados con casos de uso como amenazas internas, prevención de pérdida de datos (DLP), fraude, seguridad de aplicaciones, detección y respuesta extendidas (XDR) y muchos otros. 

En una publicación anterior, profundizamos en la primera fase de los niveles de madurez de la automatización: ARMADURA Nivel 1: Visibilidad fundamental. En esta etapa, las organizaciones suelen tener dificultades para establecer estrategias de seguridad, cubrir la plantilla y obtener el apoyo del liderazgo. Ahora nos centraremos en explorar el Nivel 2 de ARMOR: Visibilidad Enriquecida. Continúe leyendo para un análisis a fondo de lo que significa para una organización alcanzar el nivel de visibilidad enriquecida del Marco ARMOR. 

Comprenda ARMOR Nivel 2: Visibilidad enriquecida 

En la fase de visibilidad enriquecida, las organizaciones comprenden bien la arquitectura de seguridad y sus capacidades. En este nivel, una organización puede haber definido procesos sencillos que le permiten asumir la automatización a mayor escala. Si bien en esta fase existe una base sólida de personal, procesos y tecnología, los equipos de seguridad aún pueden tener dificultades con lo siguiente:

• Capacidad para abordar amenazas de seguridad de manera eficiente debido a la ausencia de herramientas esenciales
• Amplitud y profundidad de las habilidades necesarias para gestionar herramientas de seguridad
• Falta de visibilidad de SecOps en toda la organización

Gente en Visibilidad Enriquecida:

Las organizaciones en el nivel de visibilidad enriquecida tienen un conocimiento sólido de Herramientas SecOps Sin embargo, en los casos de uso comunes de automatización, los equipos pueden carecer de la competencia para gestionar las herramientas de seguridad del ecosistema, así como de las habilidades de automatización, que, en un nivel más avanzado, incluyen la creación de scripts. Para destacar, los equipos de SecOps deben definir una estrategia clara con un plan sólido de desarrollo de habilidades que se base en el objetivo de impulsar la eficiencia en sus operaciones y, al mismo tiempo, mantener la eficacia en su trabajo. Aquí es donde la automatización desempeña un papel fundamental.

Proceso en Visibilidad Enriquecida:

La definición del flujo de trabajo de seguridad es siempre un proceso continuo. En esta fase, las organizaciones pueden contar con políticas y procedimientos (gestión de incidentes, respuesta y remediación, y gobernanza y gestión de riesgos) detallados, definidos o incluso completos, pero garantizar su alineación con los objetivos del negocio es difícil. Para un éxito rápido, las organizaciones deben definir una visión y una estrategia claras para los próximos pasos, establecer roles y responsabilidades bien definidos para las personas que contribuirán a las iniciativas de automatización e identificar cómo la automatización puede mejorar el rendimiento del equipo. Ser pragmático y realista también es fundamental para lograr el éxito en la automatización.

Tecnología en Visibilidad Enriquecida: 

Finalmente, centrémonos en la tecnología en la etapa de visibilidad enriquecida. Las empresas suelen tener registros de seguridad, eventos y alertas centralizados para reducir la necesidad de alternar entre múltiples paneles. Sin embargo, muchas organizaciones aún carecen de una visibilidad integral de su seguridad y riesgos, más allá del centro de operaciones de seguridad.SOC). Para progresar rápidamente, las organizaciones deben priorizar tres acciones clave: adoptar un marco de arquitectura de seguridad para mejorar el aprendizaje del equipo, desarrollar telemetría para rastrear el rendimiento del SOC y establecer una visibilidad centralizada del SOC en toda la organización.

Únase a nosotros en esta expedición de preparación para la automatización mientras continuamos analizando los niveles de madurez que conforman el marco Swimlane ARMOR.