加強統一安全作業的數位韌性

加強統一安全作業的數位韌性

建立數位韌性的關鍵步驟之一，是讓 SOC 團隊能夠從單一的工作介面管理偵測、調查和回應等工作流程。透過優先排列風險、使用預先建立的 SOC 程序，以及用自動化來推動調查，您的分析師能夠節省時間和精力，更有效率地防止攻擊者在組織內進行橫向移動。 

安全營運的挑戰

我們的客戶將安全營運 (SecOps) 方面的挑戰歸納成幾個重要的領域。首先，他們認為威脅偵測、調查和回應能力分散在不同的系統和獨立的安全工具中，因此團隊難以獲得全面的安全事件觀點、協調因應措施、以及高效率且快速地解決事件。此外，持續不斷的安全警示，以及持續出現的新興和複雜攻擊已經拖垮了 SOC，大量的事件無法及時處理，使得風險增加。在被迫手動調查和回應這些事件的情況下，分析師無法快速結案以減少堆積的工作，讓他們陷入永無止境的被動循環中。 

《Splunk 2022 年安全現況》報告的最新統計數據也證實了這些挑戰。根據這份報告，64% 的受訪者表示由於複雜性提高而難以滿足安全需求。這些受訪者表達這種觀點的原因有以下幾點：1) 30% 的人表示他們的安全工具堆疊非常複雜；2) 與網路安全事件有關的意外停機時間長達 14 小時，平均成本高達 20 萬美元；3) 這些問題導致安全行業的員工心力交瘁，73% 的受訪者表示他們的同事因過度勞累而離職。上述這些原因促使安全團隊必須推動產品整合以簡化操作。 

為混亂帶來秩序

為安全營運的混亂帶來秩序，是 Splunk 能真正提出貢獻之處，也是我們致力於確保客戶的數位韌性的原因。我們正在加倍投入我們的統一安全營運解決方案——Mission Control，它將安全分析 (Splunk Enterprise Security)、编排和自動化 (Splunk SOAR) 和威脅情報整合到同一個工作介面之下。整合這些核心的 SOC 工具之後，Splunk Mission Control可以提供統一、簡化和現代化的安全操作體驗，進而降低複雜性和風險。Mission Control 使分析師能夠更快地偵測、調查和回應，自動化人工處理的工作，提高分析師的效率，並最終能將數位和網路韌性嵌入 SOC 的營運體系中。 

在導入 Mission Control 之後不久，GoTo 安全營運部門技術經理 Michael Rennie 表示：「GoTo 認為 Splunk Mission Control 是一個可以將安全營運提升到更高水平的解決方案。我們在 Mission Control 中集中越多 SOAR、威脅情報和工單系統資料，我們就可以節省更多時間。」

觀看這個示範影片以了解它的運作方式。https://youtu.be/xhfb5Cc11Tg

在單一工作平台上統一偵測、調查和反應

透過將偵測、調查和反應工作流程整合到單一的工作平台上，分析師可以全面瞭解安全深入資訊和趨勢，以更快地確定風險，並免去在多個安全管理主控台之間切換的問題。因此，團隊能夠更快地偵測、調查和回應安全事件，更快地了結正確的案件。 

透過按風險排列的事件佇列，分析師還可以更有效地了解他們應該處理的優先事項。為了在複雜的安全和 IT 環境中獲得狀態意識，分析師需要從數千個技術整合功能和資料來源中挖掘出這些偵測結果的深入資訊。最後，透過取得風險事件的威脅情報相關內容，他們可以改善決策。 

使用標準化流程簡化安全工作流程

Mission Control 將安全操作程序編寫為預定義範本，以提高 SOC 程序對法規的遵循程度。藉此，您的團隊能夠建立可重複使用的流程，以更快啟動調查、正確回應重要事件，最終建立更強大的安全姿態。  

SOC 團隊可以使用 Mission Control 中的預建範本，不用手動協調不同管理系統之間的工作流程，將之前分散在團隊和技術上的程序統一起來。如此一來，您不僅可以實現更可重複的安全作業，還能縮小偵測和快速事件回應之間的時間差。預先建立的範本也可以用於準備和培訓您的團隊，讓他們熟悉如何回應關鍵的安全使用案例，例如「回應經過編碼的 PowerShell」、「內部威脅回應」或「勒索軟體回應」。 

為了更快產生價值，您還可以將預設定的 Splunk 搜尋查詢嵌入到這些範本中。Mission Control 提供完整的 Splunk 搜尋介面，大幅減少了在不同標籤頁和執行個體之間轉換的操作。在 Mission Control 中，您可以搜尋來自 SOC 流程範本的資料，包括工作所有者、開始時間、完成時間、註釋和檔案等。然後，您可以透過測量工作持續時間等指標來判斷您的團隊在哪些方面遇到瓶頸。當您可以測量上述因素時，就能夠改進 SOC 的管理，並知道何時需要自動化。

以安全自動化的速度進行現代化

使用 Splunk SOAR，分析師可以自動化手動、重複性的安全流程，跨不同的安全工具堆疊進行快速調查和回應。您可以使用 SOAR 元件在 Mission Control 中部署劇本 (playbook)，按照回應範本自動化調查和回應工作，進而減少從偵測工作流程切換到調查和回應工作流程的需求。將 SOAR 嵌入您的作業中，可以確保被偵測到的事件會得到自動回應。藉此，員工可以將更多時間用在關鍵性的目標，採用更具前瞻性和靈活的安全操作。 

您可以直接在 Mission Control 中執行劇本和動作，讓使用者可以存取 Splunk 廣泛且多達 370 個應用套件的連接器生態系統。2,800 多個動作支援各種安全和 IT 應用案例的整合，分析師可以即插即用這些工具。提高工作滿意度，保持 SOC 的平穩運作，可以提高組織的韌性、減少員工的疲倦和流動率。

結論

透過在單一介面中統一威脅偵測、調查和回應 (TDIR) 工作流程，SOC 團隊可以建立數位韌性。這個統一解決方案，可以解決分散的工具和資料、複雜的 SOC 流程以及心力交瘁的安全分析師所面對的主要安全營運挑戰。SIEM 和 SOAR 技術的彙整可整合偵測、回應範本和自動化，簡化且現代化調查的工作。

若要了解 Splunk Mission Control 的更多資訊，請瀏覽我們的網站，並註冊參加網路研討會，深入了解功能和使用案例。

作者

Mike Horn

Mike 是 Splunk 安全業務的資深副總裁暨總經理。Mike 是在 Splunk 收購威脅分析公司 TwinWave 時加入 Splunk，他是 TwinWave 的聯合創辦人和執行長。在創立 TwinWave 之前，Mike 在 Proofpoint 擔任多個安全產品的總經理，包括針對目標性的攻擊保護、威脅回應和新興的威脅情報。Mike 熱衷於打造客戶喜愛使用的安全產品。