O setor de cibersegurança enfrenta diversos desafios, como prevenir violações de segurança, mitigar a sobrecarga de alertas, conectar ferramentas isoladas e mensurar o impacto dos programas de segurança. Automação de segurança É a única tecnologia capaz de abordar todos esses desafios com uma única solução técnica. No entanto, começar a automatizar os fluxos de trabalho de SecOps pode parecer uma tarefa assustadora.
Há quase uma década, a Swimlane ajuda organizações em todo o mundo a criar funções de automação de segurança. Reunimos nossas lições aprendidas e construímos a Estrutura ARMOR (Swimlane Automation Readiness and Maturity of Orchestrated Resources). A estrutura inclui uma matriz de maturidade que ajuda os profissionais de segurança a identificar uma linha de base do nível de maturidade de sua organização de segurança, a mensurar as capacidades de SecOps de suas organizações com base em uma escala de cinco níveis e a fornecer um ponto de referência para que os profissionais de segurança estabeleçam a próxima meta em termos de amadurecimento de suas equipes.
- Nível 1 – Visibilidade Fundamental
- Nível 2 – Visibilidade Ampliada
- Nível 3 – Resposta automatizada
- Nível 4 – Prevenção automatizada
- Nível 5 – Operações Automatizadas Avançadas
Continue lendo este post do blog para uma explicação detalhada do que significa estar no nível de visibilidade fundamental da estrutura ARMOR.
Nível 1 explicado: Visibilidade fundamental
Na fase de "visibilidade fundamental", as organizações estão passando por uma transformação dinâmica. Há um trabalho fundamental a ser feito antes que as equipes possam ter sucesso com uma plataforma de automação de segurança. Organizações na fase de visibilidade fundamental tendem a enfrentar desafios como:
- Estratégias de segurança ausentes ou que mudam frequentemente
- Dificuldade em preencher vagas em aberto
- Apoio limitado da liderança para programas eficazes de SecOps
Pessoas em Visibilidade Fundamental:
A lacuna de talentos em cibersegurança existe em todos os níveis de maturidade do ARMOR, mas é particularmente evidente no nível de visibilidade fundamental. Nesse nível, as equipes de segurança podem não ter um centro de operações de segurança (SOC) e provavelmente não possuem a proficiência em programação necessária para utilizar com eficácia ferramentas avançadas em Python, como a tradicional orquestração, automação e resposta de segurança (SOAR). Para obter resultados rápidos, as organizações na fase de visibilidade fundamental devem considerar trabalhar com uma [empresa/instituição/consultor ... Detecção e resposta gerenciadas (MDR) ou provedor de serviços de segurança gerenciados (MSSP) Para suprir suas lacunas internas de competências, as organizações devem continuar investindo em programas de aprendizagem e desenvolvimento para suas equipes, visando aprimorar suas habilidades técnicas, buscando soluções a longo prazo.
Processo em Visibilidade Fundamental:
Organizações no nível de visibilidade fundamental podem ter começado a documentar seus processos de segurança atuais, mas provavelmente ainda não concluíram a documentação. Nesta fase, é importante estabelecer e planejar as prioridades e os principais marcos da automação de segurança. Por exemplo, pense nos fluxos de trabalho que apresentam o maior volume de alertas de baixa fidelidade e etapas manuais. Organizações que adotam uma abordagem iterativa e aplicam uma mentalidade orientada a resultados conseguem obter conquistas rápidas e um retorno sobre o investimento mais ágil na automação de segurança.
Tecnologia em Visibilidade Fundamental:
O primeiro passo para construir a base da automação de segurança é consolidar alertas, eventos e logs de segurança em um repositório central. Nesta fase, a consolidação da telemetria de segurança pode ser inconsistente. Assim que as organizações tiverem as pessoas e os processos certos em vigor, a automação poderá ser aproveitada para ajudar a dar o salto da visibilidade básica para a visibilidade aprimorada. Enquanto isso, as equipes de segurança devem continuar a consolidar a visibilidade para obter maior eficiência nos centros de operações de segurança (SOCs).
O Framework ARMOR da Swimlane
Equipes de SecOps que desejam mapear seus objetivos, táticas e casos de uso de automação de segurança para estruturas padrão do setor, como NIST, CMMC, CMMI ou C2M2.

