其他
碳泽技术研究——如何通过引入SOAR改善MTTD和MTTR
引言
在当今快节奏的网络威胁环境中,您的组织网络会否遭到攻击、入侵,早就不是可以用“会不会”来回答的问题了——而是,网络会在何时受到破坏。为了本着“未雨绸缪、防微杜渐”的理念对类似事件做好准备,组织应努力尽可能减少攻击者的驻留时间。这就是为什么,诸如MTTR(平均响应时间)和MTTD(平均检测时间)之类的指标在时下对网络安全行业中变得越来越重要的原因。这些指标如此重要的原因在于,它们可以直观地代表您的安全团队在检测和补救威胁方面的表现——您一定不希望,潜在的攻击者在被发现和处置之前几天和几周内就早已渗透到您的系统中,造成严重破坏与无法弥补的损失。基于这样的目的,多数企业应该设法将MTTD(平均检测时间)和MTTR(平均响应时间)缩小到仅几分钟的量级;而只有您的安全运营团队配备了足够先进的自动化技术(例如SOAR)时,谈及改善MTTD与MTTR这一目标才是简单而又现实的。
MTTD和MTTR的重要性日益提高
图 - MTTD与MTTR在安全事件响应过程中的示意图
平均检测时间(MTTD):测量您的安全团队检测安全威胁或事件所花费的平均时间。
平均响应时间(MTTR):衡量您的安全团队启动响应,并补救检测到的威胁或事件所花费的平均时间。
降低MTTD与MTTR的最佳策略
改善安全运营团队的反应和恢复时间,仅仅考虑引入并使用先进的技术是不够的,需要综合应用一系列相互关联的技术与方法,例如:
优化您的事件响应计划:创建结构合理的事件响应计划,使其与您的安全团队以及您的资源完全匹配,以实现最佳性能。
对攻击有深刻的了解:研究各种攻击手法的历史证据,攻击者的潜在能力,攻击者的资源,行为和攻击手段。
进行网络安全事件模拟练习:参考诸如MITER ATT&CK之类的网络安全知识库,并通过演习或实战性质的的网络攻击,使您的安全运营团队和所有其他部门做好准备应对各种潜在后果。
利用渐进式自动化和安全流程编排:实际上,这些可能是您改善MTTD和MTTR的最重要部分。通过自动化安全流程编排及响应过程,您的安全运营团队可以增强他们的能力并简化工作,从而使他们的工作效率大大提高。
利用机器学习来增强威胁搜寻流程:SOAR技术具有研究传入威胁的特征,并使用该知识向分析人员推荐适当行动方案的能力。同时,这也有助于改善您的威胁搜寻流程。
通过SOAR改善您的MTTD与MTTR
图 - 平台级 SOAR 集成的能力模块示意图
许多安全运营团队拥有相似的烦恼之处,即他们在日常工作中必须使用多种不同的工具,而这恰恰会:减慢安全运营团队对威胁的反应时间;
阻碍安全运营团队的攻击可见度;
结果而言,导致较为糟糕的MTTD和MTTR。
如您有任何疑问,请不吝与我们联系。
销售咨询:sales@tanze.io电话:400-1788-258
技术支持:support@tanze.io
官方网站:https://www.tanze.net.cn
当前,碳泽主要聚焦于为您提供:
下一代安全防御与响应能力(NGDR)建设;
漏洞全生命周期风险管理平台建设。
我们的产品包括:
碳泽®玉衡漏洞风险管理平台
碳泽®摇光深度安全检测系统
碳泽®开阳Web安全评估系统
碳泽®千乘安全编排自动化响应平台
点分享
点点赞
点在看