Nedostatak vještina – naizgled neizbježan i stalno prisutan problem koji izaziva cybersecurity. U stvari, procjenjuje se da će se do 2021. godine u industriji pojaviti više od 3,5 milijuna slobodnih radnih mjesta. Posljedica toga je da se sigurnosni timovi visoko i nisko natječu kako bi privukli relevantne ljude ili potražili alate koji mogu pomoći u sigurnosti. Jedna takva strategija koja dobiva značajnu pozornost unutar cyber zajednice je automatizacija.
Svakodnevni izazov s kojim se moraju suočiti mnogi sigurnosni timovi je lažno pozitivno upozorenje koje se brzo može oteti kontroli i stvoriti nepotreban pritisak na sigurnosno osoblje da odredi prioritete i popravi najhitnije incidente. U brzom okruženju kao što je cybersecurity, to često može značiti da se neki nedostaci zaborave u procesu.
To nisu jednokratne komplikacije i većina sigurnosnog osoblja se morala nositi sa sličnim scenarijima. Kako bi se to zaustavilo i izbjeglo ponavljanje, jedna taktika koja može pomoći jest da se sigurnosni timovi interno podijele na tri razine analitičara, s višerednim procesima postavljenim za rješavanje određenih razina problema.
Analitičari prve razine bit će zaduženi za identifikaciju upozorenja i djelovati kao prva prepreka. Druga razina analitičara će preuzeti te incidente i provesti daljnja istraživanja kako bi identificirala lažno pozitivne rezultate prije nego što ih potvrdi kao problem. Treća i posljednja razina analitičara tada će djelovati kao posljednja linija obrane u rješavanju najsloženijih problema. Dio njihove odgovornosti uključivat će i djelovanje kao odgovor na incidente.
Logistički, bilo bi uobičajeno da sigurnosni timovi koriste sustav za upravljanje radnim procesima koji bi automatizirao proces prilikom distribucije incidenata različitim analitičarima, a istovremeno informirao i ažurirao sve ostale zainteresirane strane, uključujući i širi IT odjel. To jamči da postoji trag dokumentiranih informacija kroz učinkovit i djelotvoran proces, koji su dva ključna elementa kojima se želi automatizirati organizacija.
Automatizacija će to postići: smanjenjem broja svakodnevnih zadataka, automatskim provođenjem početnih provjera incidenata prije njihove preraspodjele, a zatim prikupljanjem svih potrebnih podataka o određenom incidentu. To će biti dovršeno prije nego što ga dostavite analitičarima, koji će tada donijeti odluku o tome da li će ga dalje istražiti ili odmah odgovoriti. Međutim, sve se ovisnosti također trebaju uzeti u obzir. Na primjer, automatizacija zbirke dnevnika može biti vrlo učinkovita, ali interpretacija dnevnika ovisi o identificiranju krajnjih točaka ili domaćina na koje se odnose.
Za veće, dinamičnije sustave, rad s proračunskom tablicom koja sadrži veliki popis IP adresa za lociranje hosta nije učinkovit. To može biti prikladnije za mala, manje mobilna okruženja. Ovo je izvrstan primjer gdje se automatizirani alati za otkrivanje problema mogu koristiti za ubrzavanje redoslijeda prilikom traženja točne datoteke problema.
Upravo zbog toga automatizaciju uglavnom koriste stručnjaci za sigurnost za prikupljanje dnevnika iz sustava i sigurnosni nadzor uređaja u svim povezanim mrežama. Automatizacija također može pružiti pomoć tako što će voditi brigu o niskim razinama zadataka kao što su sustavi krpanja i kontinuirano provođenje skeniranja ranjivosti.
Osim toga, postoje brojni alati koji su dostupni neki koji su besplatni ili open source kako bi pomogli automatizirati dijelove trijaže incidenta. U instanci, alati mogu učitati hasheve koji sadrže sve start-up izvršne datoteke, kao i sve pokrenute procese na hostu, do ukupnog broja virusa. Koristeći to u kombinaciji s namjenskim rješenjima za skeniranje zlonamjernih programa, koja će skenirati i analizirati sve nepoznate prijetnje, alat za automatizaciju može označiti sve poznate zlonamjerne programe.
Mnoga poduzeća, koja su već tražila SIEM tehnologije kako bi ubrzala svoj pristup reagiranju na incidente, mogu konfigurirati postavke pomoću skupa kombinacija događaja, kako bi upozorile na potencijalno opasne prijetnje. One se mogu prilagoditi traženju i lovu mogućih ranjivosti na temelju trenutnih informacija o prijetnjama, što može pomoći u poboljšanju ukupnih stopa otkrivanja.
Uz kontinuiranu evoluciju cyber prijetnji, sigurnosni timovi se moraju svakodnevno prilagođavati kako bi se suočili s izazovima s kojima se suočavaju njihova poduzeća. Kako bi se to postiglo, automatizacija u nekom kapacitetu mora biti ugrađena u bilo koju sigurnosnu infrastrukturu kako bi se smanjilo opterećenje tima. Kada poduzeće pronađe ravnotežu između automatizacije čovjeka i stroja, sigurnost će moći odmah vidjeti prednosti i time učiniti cjelokupni sigurnosni program još učinkovitijim.