0
0
Pergunta: Como os playbooks são úteis em SecOps?
Aimei Wei, fundador e CTO da Stellar Cyber: Cada dia traz uma nova solução para os CISOs considerarem. Infelizmente, combinar os insights que essas ferramentas oferecem e usá-los para responder a perguntas difíceis do conselho e dos analistas é um desafio. Os CISOs precisam de soluções SecOps mais abrangentes, baseadas em contexto e insights, não apenas outro acrônimo que promete resolver todas as ameaças à segurança. É aí que entram as técnicas automatizadas, como playbooks.
Simplificando, as técnicas tradicionais de SecOps não podem combinar todos os alertas e percepções que cada ferramenta fornece em um relatório de fácil compreensão. Por exemplo, uma ferramenta de gerenciamento de identidade é útil — sinaliza acesso não autorizado ou credenciais de acesso expiradas. No entanto, ele não conecta esses insights ao quadro geral. Quais alertas merecem prioridade com base no risco do ativo? Como eliminar falsos positivos? Os CISOs precisam de respostas, mas geralmente precisam juntar as peças manualmente.
Playbooks são geralmente usados no contexto de orquestração, automação e resposta de segurança ( SOAR). Playbooks em produtos SOAR concentram-se principalmente em automatizar o processo de como um analista SOC faz a triagem de um alerta . Os usuários precisam desenvolver um manual específico para fazer a triagem de um alerta ou grupo específico e correlacionar um grupo de alertas. Após a triagem de alertas, os playbooks também podem incorporar a política de uma organização e realizar algumas ações.
Ultimamente, as soluções de detecção e resposta estendida (XDR) evoluíram para oferecer aos CISOs mais contexto. O XDR fornece visibilidade em toda a superfície de ataque enquanto correlaciona alertas para reduzir o trabalho manual necessário. Playbooks também podem oferecer insights sobre uma melhor análise de causa raiz, aumentando a produtividade do analista.
Com o XDR, muita triagem, agrupamento e correlação de alertas foram feitos automaticamente usando inteligência artificial (IA) e aprendizado de máquina (ML) sem que o usuário tenha que desenvolver manuais específicos. Playbooks em XDR focam em automatizar as ações de resposta para vários alertas correlacionados com contextos já fornecidos pelo sistema para o analista.
O uso de algoritmos de AI e ML para agrupar alertas fornece detecção de ataque mais rápida, graças a tudo que aparece em um único console – uma grande melhoria em relação à tecnologia legada que exige que os analistas verifiquem sistemas diferentes. E a automação de resposta pode executar tarefas quando certas condições são atendidas, como desligar portas de firewall ao detectar ameaças de rede. Fluxos de trabalho automatizados como esse podem ser compilados em um playbook XDR, que permite que uma equipe de SecOps automatize sua resposta quando surgirem situações questionáveis.
Dado o ritmo acelerado da pesquisa e desenvolvimento de IA, é apenas uma questão de tempo até que o XDR incorpore análises preditivas de IA para oferecer contexto às ameaças e ações recomendadas. A IA preditiva pode sinalizar análises em torno de informações coletadas, vulnerabilidades no sistema e configurações incorretas para análise de analista de SecOps humano e, em seguida, enviar respostas automatizadas. Embora o custo e o ROI possam colocar a IA preditiva fora do alcance de todos, exceto empresas maiores no momento, podemos esperar a democratização no futuro, abrindo o campo para organizações de todos os tamanhos.
FONTE: DARK READING