No mundo da cibersegurança, toda tarefa manual é um fardo. Aprimorar as operações de segurança (SecOpsAprimorar a proficiência em segurança, fortalecer a postura de segurança e navegar por tecnologias complexas de cibersegurança pode parecer impossível. Na Swimlane, reconhecemos que as organizações não podem melhorar o que não podem medir, por isso buscamos contribuir para a solução, fornecendo a orientação, a estrutura e as melhores práticas necessárias para elevar o nível de segurança de qualquer organização. automação de segurança jornada. Isso levou à criação do programa de Preparação e Maturidade para Automação de Recursos Orquestrados da Swimlane. Estrutura (ARMOR).
Uma década de insights, conhecimento institucional e práticas exemplares de nossos clientes mais bem-sucedidos é o que fundamenta a estrutura ARMOR. Ela consiste em: matriz de maturidade. Os níveis de maturidade estão alinhados a casos de uso como ameaças internas, prevenção contra perda de dados (DLP), fraude, segurança de aplicativos, detecção e resposta estendida (XDR) e muitos outros.
Em uma publicação anterior, exploramos a primeira fase dos níveis de maturidade da automação – ARMADURA Nível 1: Visibilidade Fundamental. Nesta fase, as organizações geralmente têm dificuldades para estabelecer estratégias de segurança, preencher vagas e obter o apoio da liderança. Agora, vamos explorar o Nível 2 do ARMOR: Visibilidade Aprimorada. Continue lendo para uma análise detalhada do que significa para uma organização estar no nível de visibilidade aprimorada da estrutura ARMOR.
Entenda o nível 2 do ARMOR: Visibilidade Aprimorada
Na fase de “visibilidade ampliada”, as organizações têm um bom entendimento da arquitetura de segurança e suas capacidades. Nesse nível, uma organização pode ter definido processos simples que lhe permitem adotar a automação em maior escala. Embora nessa fase exista uma base sólida de pessoas, processos e tecnologia, as equipes de segurança ainda podem enfrentar dificuldades com os seguintes aspectos:
- Capacidade de lidar com ameaças à segurança de forma eficiente devido à ausência de ferramentas essenciais.
- Ampla e profunda gama de habilidades necessárias para gerenciar ferramentas de segurança.
- Falta de visibilidade de SecOps em toda a organização.
Pessoas em Visibilidade Ampliada:
Organizações com nível de visibilidade enriquecido possuem um sólido domínio de Ferramentas SecOps e casos de uso comuns de automação, no entanto, as equipes podem não ter a proficiência necessária para gerenciar as ferramentas de segurança no ecossistema, bem como habilidades de automação, que, em um nível mais avançado, incluem a criação de scripts. Para se destacarem, as equipes de SecOps devem definir uma estratégia clara para um plano robusto de desenvolvimento de habilidades, ancorado no objetivo de impulsionar a eficiência em suas operações, mantendo-se eficazes em seu trabalho – e é aqui que a automação desempenha um papel fundamental.
Processo em Visibilidade Ampliada:
A definição do fluxo de trabalho de segurança é um processo contínuo. Organizações nessa fase podem ter políticas e procedimentos (tratamento de incidentes, resposta e remediação, governança e gestão de riscos) detalhados, esboçados ou até mesmo completos, mas garantir que estejam alinhados com as metas e objetivos de negócios é um desafio. Para um sucesso rápido, as organizações devem definir uma visão e estratégia claras para os próximos passos, estabelecer funções e responsabilidades bem definidas para todos os indivíduos dentro da organização que contribuirão para as iniciativas de automação e identificar onde a automação pode aprimorar o desempenho da equipe. Ser pragmático e realista também é essencial para alcançar o sucesso da automação.
Tecnologia em Visibilidade Ampliada:
Finalmente, vamos direcionar nosso foco para a tecnologia no estágio de visibilidade aprimorada. As empresas geralmente possuem registros de segurança, eventos e alertas centralizados, a fim de reduzir a necessidade de alternar entre vários painéis. No entanto, muitas organizações ainda carecem de visibilidade abrangente sobre sua postura de segurança e risco, além do centro de operações de segurança (SOC).SOCPara progredir rapidamente, as organizações devem priorizar três ações principais: adotar uma estrutura de arquitetura de segurança para aprimorar o aprendizado da equipe, desenvolver telemetria para monitorar o desempenho do SOC e estabelecer visibilidade centralizada do SOC em toda a organização.
Junte-se a nós nesta expedição rumo à preparação para a automação, enquanto continuamos a analisar os níveis de maturidade que compõem a estrutura ARMOR da Swimlane.
O Framework ARMOR da Swimlane
Equipes de SecOps que desejam mapear seus objetivos, táticas e casos de uso de automação de segurança para estruturas padrão do setor, como NIST, CMMC, CMMI ou C2M2.

