自動化安全流程和工作流程可以幫助團隊縮短平均解決時間，維持或加強組織的安全態(tài)勢，并提高運營效率。聽起來不錯，對吧？在我們最近的云安全用例手冊中，杭州ip設(shè)計公司了解了所有團隊都應(yīng)該具備的關(guān)鍵操作流程，以及他們可以隨著時間的推移不斷優(yōu)化這些流程的一些方法。今天，讓我們來看看自動化如何提供持續(xù)、深入的可見性并增強您的安全運營，同時節(jié)省您的時間和資源。

自動化成熟領(lǐng)域

在 Threat Stack，我們建議組織： 自動化一切。人類接觸的移動部件越少，事情搞砸的機會就越少。當(dāng)然，自動化“一切”是一項艱巨的任務(wù)，因此您需要從幾個特定領(lǐng)域開始著手。然后，制定一個計劃，緩慢但肯定地實現(xiàn)一切自動化。以下是您環(huán)境中從安全角度來看非常適合早期自動化的五個區(qū)域示例。

1. 警報嚴重級別

應(yīng)使用安全工具將警報的優(yōu)先級分為高、中或低嚴重性。這樣，人類就不會被警報轟炸并冒著警報疲勞的風(fēng)險，而是可以根據(jù)優(yōu)先級采取適當(dāng)和及時的行動。

例如，SecOps 團隊需要知道是否將未經(jīng)授權(quán)的包引入生產(chǎn)環(huán)境。優(yōu)秀的杭州ip設(shè)計公司運營團隊會小心地在開發(fā)人員在生產(chǎn)中實例化的黃金 AMI 中安裝和維護包。但是任何未經(jīng)授權(quán)的安裝都會增加生產(chǎn)環(huán)境的攻擊面。

為避免這種情況，您的安全工具應(yīng)設(shè)置為在生產(chǎn)中安裝任何未經(jīng)授權(quán)的軟件包時自動生成中等嚴重性警報。然后，您可以在每個工作日查看它們，并根據(jù)需要采取行動。有人可能只是忘記提前獲得正確的授權(quán)，但這也可能是攻擊未遂的跡象。應(yīng)每周審查低嚴重性警報。高嚴重性警報一出現(xiàn)就應(yīng)該由某人進行審查。

2. 用戶配置和取消配置

根據(jù)安全最佳實踐，絕不應(yīng)直接在生產(chǎn)系統(tǒng)上將用戶添加到工作負載中或從工作負載中刪除。為什么？在持續(xù)開發(fā)的基礎(chǔ)架構(gòu)中，開發(fā)人員和運營人員絕不應(yīng)該像手動添加或刪除用戶那樣直接與系統(tǒng)交互。它只是為人為錯誤引入了太多機會。

相反，您應(yīng)該在部署期間使用自動化工具在工作負載中添加或刪除用戶。對于自動化來說，這是一個很好的、唾手可得的成果。

3. 故障排除和枚舉工具

故障排除和枚舉工具是安全應(yīng)該自動化的另一個領(lǐng)域。杭州ip設(shè)計公司是否知道 tcpdump、netcat 和 wireshark 等安全工具經(jīng)常被漏洞利用用于數(shù)據(jù)泄露？談?wù)撘鼓愕氖郑〕鲇谶@個原因，這些工具絕不應(yīng)該作為通用工具的一部分在生產(chǎn)中使用。

為了解決這個問題和類似問題，您的安全解決方案應(yīng)該每周自動監(jiān)控生產(chǎn)環(huán)境中所有安全工具的安裝和使用情況。過濾器可用于標記這些實例并捕獲可能表明惡意軟件攻擊企圖的可疑活動。

如果有人以惡意行為為目標進入杭州ip設(shè)計公司的服務(wù)器，他們可以輕松地使用安全工具來對付您。因此，您想知道何時添加新的或何時發(fā)生任何異常情況。

4. 文件權(quán)限變更

文件的權(quán)限更改通常可以作為漏洞利用的指標。因此，永遠不應(yīng)在主機上手動編輯文件權(quán)限。如果發(fā)生這種情況，則可能表明已下載未經(jīng)授權(quán)的文件并且用戶或腳本已嘗試執(zhí)行它。與其將權(quán)限工作留給一個人，不如盡可能多地自動化。此外，杭州ip設(shè)計公司應(yīng)該設(shè)置警報，以便在任何時候更改權(quán)限時，您都會收到通知。