RPA 如何达成资安作业自动化?启用 UiPath RPA 达成全面的资安 SOAR
RPA 如何达成资安作业自动化?
启用 UiPath RPA 达成全面的资安 SOAR
原文作者:Jagjit Dhaliwal
原文出处:How is UiPath Automating Cybersecurity Operations?
各家企业的资讯长(Chief Information Officer,CIO)在爲新的一年规划工作时,都将资讯安全视爲首要任务,以保护他们的组织避免日益复杂的资安威胁。
Foundry 公司《 2022 年 CIO 现况研究报告 》指出:「未来的一年期间,CIO 的工作和专业知识将会专注在管理资安。其中 76% 的 CIO 预计自己在未来的一年内会更加投入资安相关工作 ,而 51% 的 CIO 则回答自己目前的工作内容主要是在管理资安。」疫情期间,远端工作能力和数位产品服务渗透力的提升,爲资安团队带来了更多的问题。
目前爲了持续改善组织的资安防卫,资安人员可能会运用各种人工智慧(artificial intelligence,AI)应用程式在 IT 智慧维运领域(AI operations,AIOps)或是资安维运(security operations,SecOps)中。然而,这些工具都没有端到端(end-to-end)资安作业的自动化。资安工程师可能每一天都花很多时间在处理下列的任务:
对警讯的疲劳感仍然是个问题
团队处理的警讯超过一定数量之後,就会开始疏忽遗漏。有 调查 显示,「当待处理资安威胁警讯已经满载,超过三分之一的资安管理师和分析师就会开始忽视警讯」。UiPath 透过 各项 IT 自动化功能 提供简易使用、厂商独立(vendor-agnostic)和坚固的资安作业等优势。本文将详细说明这些优势以及它们如何达成所谓的全面「资安协调、自动化与回应」(security orchestration, automation, and response,SOAR)。
身分的生命周期
大多数的公司是由 IT 分析师管理使用者设定档、角色和员工存取权限。IT 分析师的的管理工作可能会包含使用者布建(user provisioning)、新增/移除应用程式权限,重新设定使用者密码和使用者帐号解锁等等。
UiPath 提供使用者介面(user interface,UI)自动化和与应用程式开发介面(application programming interface, API)整合的身分权限管理(identity access management,IAM)工具,例如:微软 Azure AD,来达成上述 IT 管理工作的自动化。
结合 UI 和 API 能力延伸到服务管理领域,UiPath 机器人还能够监控 IT 服务管理(IT service management,ITSM)工单;它可以根据定义的触发事件启动作业、执行必要的使用者管理措施、更新 ITSM 工单,并且通知使用者解决方案。
这些机器人还可以和聊天机器人以及 Slack 等通讯平台整合,让员工体验即时对话服务。下图说明使用者管理流程:
UiPath 是否也会 使用 UiPath ?
当然会!我们会在内部将上一段描述的流程自动化。
使用者管理工作的自动化,减少 ITOps 团队超过 15% 的工作量。此外,ITSM 工单的平均处理时间也从每张工单两个小时缩减到每张工单仅两分钟;这等於是处理工单的时间减少了 98%,让团队有余裕处理更复杂的任务。
我们还有与 Slack 整合的 IT 服务台聊天机器人,提供员工非实人对话服务,不需要透过服务台的人员,就可以完成使用者和凭证管理工作。
侦测和预防资安威胁
专业资安人员另外会关注的一个重点是侦测和预防资安事件。根据 IBM最近的一项研究结果,「拥有『完整部署』资安自动化策略的组织的平均资安入侵(breach)成本爲 290 万美元,而没有自动化经验的组织的平均资安入侵成本则是其两倍多,爲 671 万美元」。
UiPath 延展了现有资安作业工具的资安自动化能力。利用事件驱动的自动化能力,端点侦测与回应(endpoint detection and response,EDR)、延伸式侦测与回应(extended detection and response ,XDR)、安全资讯和事件管理(security information and event management,SIEM)或其他资安监控工具都可以触发 UiPath 机器人执行修复措施。
当资安监控工具辨识入侵指标 (indicator of compromise,IoC) 时,这些工具可能会因爲缺少 API 整合或路由问题,而无法对防火墙等网络系统作业。在这个情况下,在防火墙系统中阻挡 IP 位址等工作就必须由资安分析师手动执行。
同样地,资安分析器可以执行防火墙规则审查,但无法停用或移除防火墙或是网路位址转译(network address translation,NAT)规则和 NAT物件。透过无关卖家的自动化能力,UiPath 机器人可以用 UI 和 API 功能爲任何产品执行这些手动措施。
UiPath 如何处理电子邮件网路钓鱼的问题(phishing)?
UiPath 机器人可以自动隔离电子邮件对话串和触发修复措施。以下列出一些可以用 UiPath 达成自动化的资安威胁侦测和预防工作:
我们在内部使用这类自动化作业来管理从 Azure Security Orchestration 等来源发出的暴力攻击警讯,每年还利用我们自己的自动化作业阻挡超过 20,000 次暴力攻击。
UiPath 可以协助自动化牵涉到多个系统的流程作业。例如,在 此处影片 中,UiPath 爲上层系统的资安漏洞开立工单,而机器人会利用Tableau、Tenable、ServiceNow 和 SharePoint 四个企业系统来完成流程。
回应资安事件
即便是利用最好的组织工具来侦测和预防资安威胁也可能会有疏漏。资安事件频频发生,而资安事件回应管理才是对资安团队的实力真正的考验。
及时处理对任何入侵事件都至关重要。前述的 IBM 研究 证实了资安事件回应工作的投资会减少入侵相关成本,说明:「拥有资安事件回应团队并且有执行过回应计划的公司的平均资安入侵成本爲 325 万美元,而两项都不到位的公司的平均资安入侵成本爲 571 万美元(後者的成本高出54.9 %)。」
以下是一些您的资安团队可以自动化的资安事件回应相关工作:
这些工作有助於加速修复过程以及标准化事件回应的流程。
稽核和合规
所有的组织都必须进行各种稽核来确保符合 SOX、HIPAA 和 GDPR 等业界标准规范。稽核的工作包含各团队搜集证据、映射地图和执行控制测试和评监。您可以透过以下方式自动化许多相关的工作,尤其是一般 IT 控制相关的工作:
我们不但协助进行稽核,我们的机器人还可以监控合规需求。机器人不需等到年度稽核工作开始,就可以主动阻止任何失败的控管作业,并且提醒相关管理人员。
UiPath 机器人可以自动通知您是否有违反规范的事件发生,例如,使用医疗资讯来辨识人(即被保护的医疗资讯),是 HIPAA 的隐私规范不允许也不授权的行爲;这可以降低因爲简单的错误或疏失而违反规范的风险。
UiPath 的自动化平台也有助於内部通报机制。利害关系人可以搜集必要资讯、产出完整的报告,并且比以前更快、更容易地发布这些文件给适合的相关人员。
我们在内部利用机器人透过 2,000 多个授权核对等多项自动化作业来测试 SOX 合规和搜集证据。我们还提供稽核证据来评估 NetSuite 系统中记录的 1,000 多张发票的完整性、准确性和是否存在。
资安启用包和产品合作夥伴关系
除了 UiPath UI 和 API 整合能力,我们还预先建立了啓用包和 工作流程套件 来快速启动您资安作业的自动化。使用者可以轻易地理解和使用这些拖拉式、开箱即用的套件。
UiPath 还与 CyberArk、CrowdStrike 和 eSentire 等主要资安平台建立策略合作夥伴关系。UiPath 机器人可以和 CrowdStrike 原生整合,以使用 Falcon Insight 启用端点侦测与回应。而与 eSentire 整合则可以横跨多个微软资安服务来达成端到端资安政策的自动化。
IT 智能化最佳夥伴-MetaAge 迈达特|UiPath 指定台湾代理商
UiPath RPA 技术适合所有想要提升生产力、数位转型的企业,包含金融服务、医疗保健、制造业、政府机关、零售业等。许多企业已在财务、IT 与资安、人力资源、法务、客服、营运等部门导入 RPA 领导品牌 UiPath。UiPath 基本 RPA 产品服务 包含:UiPath Studio 视觉化流程设计、UiPath Robots 执行机器人、UiPath Orchestrator 管理中控台等。另外, UiPath 采「年度订阅制」,提供企业用户更弹性的应用空间。
若要更进一步了解完整 UiPath RPA 解决方案,欢迎与 UiPath 指定台湾代理商 MetaAge 迈达特联系。我们长年代理数十个全球知名硬软体品牌, 拥有专精於系统整合和云地串联的技术团队。立即联络 MetaAge 迈达特 , 了解 UiPath RPA 解决方案或整合方案。