最后更新于2023年5月3日(星期三)12:20:31 GMT

的时间成本 事件响应 因为安全团队可能比我们想象的更大、更复杂. 来看看它的作用, 让我们来看一个大多数网络安全分析师应该都很熟悉的假设场景.

一个日常的故事

安全工程师凯西正在调试 SIEM 检测对其组织构成更大风险的特定威胁. 这个项目被分配了一定的时间来完成. 为了使查询和调优正确,Casey必须进行的研究和测试, 准确的, 效率对企业来说是至关重要的. 这是这位工程师手头上的众多项目之一. 他们正在进行研究,并开始在一定程度上了解攻击,他们将能够开始编写警报的一些初步因素, 然后……

一名员工转发了一封他们认为是 phishy. 凯西看了看邮件,确认需要进一步调查. 然而, 工程师必须通过向用户提供将电子邮件作为附件发送的过程来响应用户,以便查看标题和其他有助于识别恶意电子邮件工件的详细信息. 在此之后,工程师将进行评估并对事件做出适当的响应.

现在,25分钟过去了. 凯西回到专注于调整警报,但需要回到研究多一点,以确认他们离开的地方. 又过了10分钟,他们又回到了接到钓鱼警报时的位置. 现在他们正在为项目收集正确的信息,并试图让合适的人参与进来, 然后……

一个EDR警报进来了. 这是一个导演的笔记本电脑. 这开始占据优先地位, 因为主管需要这台笔记本电脑给客户做演示, 他们三小时后就要去机场了. 凯西走开分析警报, 根除恶意软件, 并开始扫描整个组织,以确定是否在其他地方看到恶意软件哈希值. 30分钟过去了,因为一份事故报告需要添加到船票上. 凯西又坐了下来, 再过20分钟, 必须重新调整自己的想法,专注于手头的任务吗.

灰色的时间

如今,这样的场景几乎在每个组织中都在发生. 高风险的安全项目被推迟,因为火灾突然出现,需要回应. 在我们刚刚布置的场景中, 由于事故,这名工程师在项目工作中损失了1小时25分钟. 如果不及时处理,这些事件可能会给他们带来风险, 但是这个工程师正在进行的项目如果没有完成,将会有很大的影响风险.

加州纽波特, 乔治城大学的计算机科学教授, 他在影响深远的著作《十大赌博官方正规网址》中解释说,每个人从一项任务转向另一项任务所需的时间都是不同的. 我们的大脑就是这样工作的. 我把这段时间称为“灰色时间”.“灰色时间通常不会被添加到对事件做出反应的时间中, 但我们应该改变这一点.

是否需要30秒, 5分钟, 或者15分钟来应对突发事件, 您必须在流程中添加5到25分钟的灰色时间,以便回到之前正在执行的工作. 从任务中休息的时间越长,完全回到项目中可能需要的时间就越长. 对于一个组织来说,灰色时间和不对突发事件做出反应一样有害. 有很多数据可以帮助我们量化分心和干扰:

突发事件可能会让你分心或中断. 事实是,安全专业人员响应的一些事件是良性的,不会导致执行事件响应计划或阻止优先级工作的完成.

这里是 安全编排、自动化和响应(高飞) 开始发挥作用. 安全专业人员正在做的那些手动任务,从风险知情的项目中抽出时间来保护业务,可以自动化. 如果任务不能完全自动化, 我们至少可以自动化从一个工具转向另一个工具的过程. 高飞可以消除票务系统和事件报告文档中的手动注释. 它还可以减少反应时间,帮助消除灰色时间.

通过高飞减少灰色时间

在一个警觉性疲劳和员工流失普遍存在的行业, 对高飞广泛的自动化能力的需求很高. 想想你的组织中有哪些任务是你希望自动化的, 因为他们占用了不必要的时间. 我们可以做一些快速的计算,找出您的组织每年为这些任务进行人工响应的成本, 包括灰色时间.

  1. 首先,想想你的团队反复做的重复性动作.
  2. 分配一个“任务分钟”(tm)值,这是执行该任务所需的大约时间.
  3. 然后,估计“每周任务实例”(ti)值.
  4. 乘以52就是你每年的“任务分钟数”."
  5. 除以60就得到你每年的“任务小时数”."
  6. 乘以处理该任务的团队的平均时薪,就可以得到每年的人工响应成本.

我鼓励你在每一个剧本或过程中都这样做.

  • 任务分钟数(tm) ×每周任务实例数(ti) =每周总任务分钟数(ttw)
  • Tw × 52 =每年总任务分钟数(tty)
  • Tty / 60 =每年总小时数(ty)
  • Ty x每小时员工率(hr) =人工响应成本

我们在这里没有做的是添加灰色时间. 平均来说,需要 大约23分15秒 注意力分散后重新集中于一项任务. 因此,考虑到这一点,让我们通过量化之前的故事来完成这篇文章.

假设凯西, 我们的工程师, 每封钓鱼邮件需要30分钟, 恶意软件的入侵需要15分钟来控制和根除. 两份事故报告都需要大约20分钟. 我们还假设该组织每周看到大约16个网络钓鱼实例(ti),并且报告网络钓鱼需要50分钟. 让我们加上20分钟的灰色时间,使它成为70分钟(tm)。.

  • 70 x 16 = 1,120分钟(tw)
  • 1120 × 52 = 58,240分钟(tty)
  • 58,240 / 60 = 970.7小时(小时)

使用全国平均工资的入门级事件和入侵分析师在 $88,226,我们可以把它分解成每小时42美元.41. 从那时起,970人.7 (ty) x 42.41 (hr) = $41,167.39.

每年花费在人工应对网络钓鱼上的费用刚刚超过4.1万美元. 那恶意软件呢?? 我简写一下,因为我相信你们已经明白了. 假设恶意软件事件一周发生10次左右.

  • 25分钟+ 20分钟= 45分钟(Tm)
  • 45 × 10 = 450 (TTw)
  • 450 × 52 = 23,400 (TTy)
  • 23400 / 60 = 390 (THy)
  • 390 x $42.41 = $16,539.90
  • $16,539.90 + $41,167.39 = $57,707.29

这几乎是全职员工两道手工流程的薪水!

飞越灰色时光

在我们的信息安全项目中,越来越需要高飞. 我们不仅把时间浪费在本可以自动化的手工流程上, 但是,我们在工作日中增加了灰色时间,减少了我们必须处理的高优先级项目的时间,这些项目是由业务风险通知的,并且是保护收入和业务运营所必需的. 使用高飞,您可以将精力重新集中在与风险相关的任务上,并限制手动任务的中断. 您还可以减少灰色时间,提高您的安全程序的有效性. 有了高飞,一切都是蓝天,没有灰暗的时光.

更多阅读:

不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.