Ssylka

Автоматизация реагирования на уязвимости: как сократить время обработки CVE на 60%

Инженер по безопасности компании LivePerson Джош Маклафлин разработал эффективное решение для автоматизации мониторинга уведомлений о безопасности. Созданный им рабочий процесс доступен в библиотеке Tines и может быть развернут через бесплатную версию Tines Community Edition. Внедрение этого решения позволило LivePerson сократить время обработки уязвимостей на 60% — с 150 до 60 минут для анализа 45 уязвимостей.
Автоматизация реагирования на уязвимости: как сократить время обработки CVE на 60%
Изображение носит иллюстративный характер

Команды безопасности ежедневно сталкиваются с необходимостью отслеживать критические уведомления из множества источников. Традиционный подход включает ручную проверку источников, исследование CVE, принятие решений и создание тикетов. Эти процессы не только отнимают много времени, но и подвержены ошибкам, а также могут привести к непоследовательности в реагировании на угрозы.

Решение Маклафлина представляет собой полностью автоматизированный рабочий процесс, сохраняющий контроль аналитика на ключевых этапах принятия решений. Система автоматически собирает уведомления о безопасности, обогащает их данными разведки угроз, уведомляет команду и создает тикеты после получения одобрения.

Основные преимущества этого подхода включают значительное сокращение ручных усилий и времени реагирования, использование данных разведки угроз для лучшей приоритизации, обеспечение последовательной обработки уязвимостей и укрепление сотрудничества между командами. Кроме того, автоматизация устраняет утомительные задачи, повышая моральный дух аналитиков, при этом сохраняя их контроль через процессы утверждения.

Для реализации решения используются несколько ключевых инструментов: Tines для оркестрации рабочих процессов и ИИ, CrowdStrike для получения данных разведки угроз и EDR, ServiceNow для управления тикетами и ITSM, а также Slack для командного взаимодействия.

Рабочий процесс включает сбор RSS-потоков от CISA, дедупликацию уведомлений, фильтрацию по вендорам (Microsoft, Citrix, Google, Atlassian и другие), извлечение информации о CVE из описаний, обогащение данными разведки угроз CrowdStrike, отправку уведомлений в Slack с кнопками действий и процесс утверждения для создания тикетов.

Внедрение этого решения происходит в несколько шагов. Сначала необходимо войти в Tines или создать учетную запись, затем импортировать готовый рабочий процесс из библиотеки Tines. После этого следует настроить учетные данные для CrowdStrike, ServiceNow и Slack, сконфигурировать канал Slack, детали тикетов ServiceNow и фильтрацию вендоров. Наконец, необходимо протестировать функциональность рабочего процесса, а затем опубликовать и ввести его в эксплуатацию.

Использование этого автоматизированного подхода позволяет организациям значительно повысить эффективность обработки уязвимостей, обеспечивая при этом последовательность в реагировании на угрозы и сохраняя контроль специалистов по безопасности над ключевыми решениями.


Новое на сайте

15636Что скрывается за пределами Нептуна: новый кандидат на роль загадочной планеты девять? 15634Стильный дом для фанатов: коллекция ковров Star Wars от Ruggable со скидкой к празднику 15633Гигантское газовое облако массой в 5500 солнц обнаружено вблизи земли 15632Какое животное на самом деле самое опасное в Йосемити? 15631Визуальное мышление Карла Линнея: переосмысление роли иллюстраций в работе великого... 15630Что нужно знать о приближающихся к земле астероидах размером с автобус? 15629Как укусы ядовитых змей могут изменить будущее медицины? 15628Генетическая адаптация морских женщин южной Кореи: как эволюция помогает профессиональным... 15627De'Longhi Rivelia: идеальный автоматический эспрессо для истинных ценителей кофе 15626Необычный метод мумификации: как ректум австрийского священника сыграл ключевую роль в... 15625Космическое столкновение: как пульсар деформировал гигантскую "змею" в центре... 15624Игра в Minecraft раскрывает механизмы человеческого обучения в реальной жизни 15623Космический спектакль: как наблюдать метеорный поток Эта-Аквариды – следы кометы галлея 15622Как изменится мир без комаров: экологические последствия и современные методы борьбы?