自动化内部风险响应有很多好处,包括减少分析师的工作量(赞美太阳)和减少响应时间,但其中最主要的是增加了我们与最终用户交互的一致性。这种一致性减少了每个人都有的内隐偏见,因为他们对同事和高管的反应都是一样的。但是从哪里开始呢?让我们把它分解成更容易管理的步骤。
内幕风险调查步骤
步骤1:确定用例
从那些需要花费时间手工处理且经常发生的事情开始。出于这里的目的,我将使用我自己程序中的一个示例:响应来自我们公司云的公共共享文件。在自动化之前,我和我的团队每个月联系用户15-20次,以验证公开共享的文件是否应该处于这种状态。
我们最终发现,当被问及一个文件是否应该公开共享时,我们从用户那里得到的绝大多数回答都是“该死!不!我不是故意的!”通过自动化这个用例,我们能够减少对公共共享文件的响应时间,根据我们的经验,这些文件有很高的意外共享率。
步骤2:定义触发器和输出
接下来,我们需要选择我们的自动化将接受什么作为输入,以及它将如何处理这些数据。
回顾我们的示例,我的团队将收到一个警报,提示一个文件最近已被公开共享,我们将联系公开该文件的用户,以确定他们是否真的打算采取该操作。我们得到的答案主要分为两类:“哦,天哪,不,那是个错误。或者“当然,这些数据应该是公开的。”因此,我们得到了输入(警报)和输出(询问用户该数据是否应该公开)。
第三步:执行
实现几乎肯定是整个过程中最耗时的部分。继续上面的例子,我们选择Workato作为我们的自动化平台,因为它已经与我们的安全工具(我们的数据来源)、Slack(我们如何与最终用户交互)和谷歌Drive(我们如何记录我们的交互)进行了集成。betway365我们开发了一系列workato“recipes”(他们对~script/playbook的术语),它们接收警报数据,然后与公开共享文件的用户创建一个Slack通道。
一旦创建了通道,自动化就会向用户显示有问题的文件和一系列按钮,并要求用户选择“是,可以公开”或“否,不应该公开”选项并做出相应的响应。如果是,用户就会得到感谢并被送走。如果否,则会向用户提供一份关于企业云的正确共享实践的“即时”培训,并要求用户审查和确认。
用户的响应记录在谷歌驱动器的电子表格中,并定期进行审计。此外,还提供了如何将共享权限调整到适当级别的步骤。
在实施后的前6个月,这种自动化对来自我们企业云的意外公开共享率产生了可衡量的影响。在2022年第一季度,对公共共享文件的自动化只运行了16次,比之前每月15-20次的速度大幅下降.
第四步:报告、审查和改进
最后,但并非最不重要的是实现后细化。作为凡人,我们的自动化系统很少能完美无缺地工作,也很少能一开始就解决所有的边缘情况。一旦重大问题得到解决,我们就将精力转向度量。
当涉及到度量时,最好尽早考虑如何度量自动化的结果,这样数据点就可以在过程中构建,而不是在事实发生后才添加。在我们的特定情况下,我们收集:
- 自动化操作的警报的原始数量(包括用户名和文件名)
- 有多少警报在没有采取任何行动的情况下被评估和撤销(自动化确认在过去30天内没有就特定文件联系过相关用户)
- 发送了多少即时培训,有多少用户承认使用了培训
在过去的三个季度中,在没有分析师干预的情况下,我们已经记录了超过185次用户交互。如果我们假设每个手册,分析师驱动的交互将需要10分钟(在警报审查、与用户交互和文档之间),那么自动化已经节省了31个分析师小时。如果我们推断,假设我们有3个这样的自动化都产生了类似的结果,一个团队可以在12个月的时间内减少超过123小时的工作量,或者大约3周的时间可以用来追逐更有趣的风险。
说到未来的状态,自动化日程表上的下一个是处理第三方直接共享。随着终端用户行为从共享公共链接转向更安全的直接共享,我们现在面临着一个新的挑战,即跟踪数十个特定的非公司电子邮件地址的共享。betway88help为了解决这个问题,我们建议在进行类似的自动用户推广之前,采用一个非公司的电子邮件地址,并根据批准的供betway88help应商列表进行搜索。
自动化的文化效益
当我们在前6个月之后回顾上述自动化的影响时,很明显,当来自机器人与安全分析师的消息被感知到软化时,这种快速、友好的机器人交互形式有巨大的潜力和好处:betway365
- 用户在交互开始时更舒服
- 用户与自动响应的交互更加频繁
- 用户更愿意全程跟随交互
- 再犯率较低
事实上,接受微训练的用户避免了公开分享的陷阱。
结论
言归正传,“内幕风险”是一个非常人性化的行业。与其他安全领域不同,IRM中的几乎每条路都通向与betway365人类对话。虽然这些对话永远不可能完全被自动化取代,但当我们有太多优先事项要处理时,我们无法做到最好。通过自动化一些更常规、更容易理解的风险,我们可以释放周期,这些周期可以更好地用于追逐更紧迫的风险。
