最后更新于2020年7月10日星期五格林尼治标准时间13:36:18
朋友们,跟我一起去旅行吧. 我们故事的主角是你和我. 他们有成千上万的安全分析师和系统管理员. 他们是能把事情做好的人(通常是很难做到的), 通过纯粹的意志力和相当多的体力劳动.
但在他们的内心深处,想想 可能是什么?. 他们想象他们的 漏洞管理和修补过程 而不是像今天不同的组件, 而是一曲优雅的交响乐,由算法驱动的API调用自我修复环境,而他们躺在后面,听着处理器风扇发出的音乐嗡嗡声.
我可以向你展示这个世界…
好吧,我们来好好谈谈. 天上掉馅饼的自动化工作流是可能的吗? Eh, maybe. 但同样的道理,我也装不出来 斯科特Weinger的 voice, 我不会试图强行灌输我认为在很大程度上不切实际的解决方案来解决真正困难的问题.
安全编排和自动化 不是关于复杂的,多方面的工作流程. 它是关于把我们每天要做的事情变得更简单. 漏洞管理和修补是 packed 这样的任务已经成熟,可以进行一些甜蜜的编排和自动化. 这些任务的一个常见线程是 IT和安全需要协同工作——成为彼此的工具!-解决问题,这就是为什么Rapid7发布了 漏洞修复工具包 for InsightConnect, Rapid7的SOAR解决方案. 如果你允许的话, 我想带您经历一个场景,我相信许多分析师和系统管理员都经历过这个场景.
我可以向你展示这个世界……
我们的故事以两位英雄为特色:一位安全分析师和一位系统管理员. 他们即将经历生活中一个完全普通的场景. 一个全新的关键漏洞即将出现. 它是那些影响广泛部署但难以控制的软件的恼人问题之一——可能是一个以咖啡为主题的运行时环境, who can say?
安全分析师对漏洞进行定期的审查和建议周期. 在很大程度上, 他们部署的代理会定期自动收集数据, 所以他们不需要太多的照看, 分析师要做的远不止这些 脆弱性管理. 然而,有些时候,一个坏消息传来,需要更迅速的反应.
今天就是这样的一天.
在看到漏洞的详细信息后,分析人员开始关注. 其中的风险评估者可以看到,开发将相对容易, 他们知道至少他们网络中的一些系统会受到影响. 它还有一个朗朗上口的名字,会出现在上百个供应商博客的顶部, and it is a certainty 他们的老板会问起这件事,所以他们最好马上开始工作.
了解任何解决方案都需要IT的帮助, 分析师会与他们最喜欢的系统管理员共享Slack频道. 在快速概述了这个问题之后,他们就开始讨论了. 利用来自代理的新数据, 安全分析师开始使用InsightConnect的第一个工作流. 给InsightConnect机器人的一条快速Slack消息 在InsightVM中触发一个搜索查询 对于受关键漏洞影响的资产, 几分钟之内, 机器人传递消息:网络中的两个资产受到影响.
识别出易受攻击的主机后,系统管理员就可以进入游戏了. 安全分析师使用另一个InsightConnect工作流来 查找漏洞详细信息 从Rapid7的漏洞数据库. 这将返回系统管理员需要的关键信息:解决方案信息. 有了补丁信息, 系统管理员继续快速评估有问题的系统,以确保应用补丁不会损害任何重要的东西. 这是好消息,也是坏消息. The good news? 其中一个系统可以打补丁而不会产生任何后果. 系统管理员通过slackbot调用另一个InsightConnect工作流, 在BigFix中启动补丁序列 用于安全补丁资产.
The bad news? 如果将补丁应用于其他资产,则关键业务应用程序将受到影响. 没有什么是简单的. 系统管理员提交补丁和资产的异常请求 another InsightConnect工作流 将挂起的异常通知安全分析人员. 不过,这个故事确实有一个圆满的结局. 系统管理员注意到易受攻击的系统位于网络的一个分段角落. 风险是可以接受的,安全分析师通过slackbot批准例外. All is well. 我们的英雄可以安息.
尽管理想化了上述场景的某些方面, 任何安全分析师或系统管理员都会认识到这里所采取的基本步骤. 他们可能没有意识到的是,解决问题的速度实际上是可能的. 没有一项任务本身是令人生畏的,而是将它们简化 在InsightConnect中集成聊天工作流 无需登录到多个工具并跨各种复杂的用户界面执行操作. 它不需要一个巨大的, 高度复杂的工作流程使每个人的日常操作更加愉快. 相反,将Slack与来自的工作流绑定到修复过程中 漏洞修复工具包 为了轻松的提升和快速的回报.
