AMP удалось сократить время, необходимое для реагирования на инцидент безопасности, с трех месяцев до одной недели, отказавшись от ручных процессов в пользу автоматизации.
Ранее AMP полагалась на ручную сеть электронных писем, электронных таблиц, телефонных звонков и текстовых сообщений, чтобы запустить свою реакцию на инцидент в ответ на угрозу или уязвимость.
Это означало, что команде кибербезопасности потребуется около 12 недель, чтобы отреагировать на событие безопасности; уровень обслуживания, который, как знал глава отдела кибербезопасности AMP Ран Уэйкли, был недостаточно хорош.
Интегратор KPMG только что внедрил инцидент, изменение проблем, CMDB, каталог услуг и выполнение запросов на обслуживание на платформе ServiceNow для ИТ-команды AMP.
Традиционные предложения ServiceNow были сосредоточены на размещенном программном обеспечении для ИТ-услуг, операций и управления бизнесом. Но в прошлом году она распространилась и на сферу безопасности с запуском платформы операций по обеспечению безопасности, предназначенной для автоматизации и улучшения координации мер безопасности.
В рамках стандартной оценки безопасности, которую команда Уэйкли провела на новой установке ServiceNow ИТ — подразделения, они обнаружили существование модуля безопасности — “возможность, которая была слишком хороша, чтобы ее упустить”, — сказал Уэйкли на недавней конференции Knowledge 17.
С помощью KPMG новый модуль безопасности был установлен в течение шести недель. KPMG была осведомлена о дорожной карте AMP с точки зрения операций безопасности, когда она ввела CMDB для ИТ, и поэтому добавила компоненты бизнес-критичности в каждое основное приложение AMP, а также базовые системы поддержки и серверы, ускоряя процесс развертывания SecOps.
“Это позволило нам включить квалификацию, когда произошел инцидент или угроза была обнаружена с помощью их сканирующих систем [FireEye и Nessus]”, — сказала специалист KPMG ServiceNow Мэрилин Нельсон на конференции AusCERT на Голд-Косте на этой неделе.
“Он проглотил это в платформу ServiceNow, и они могли определить по всему шуму, на что им нужно было быстро реагировать, и это вызвало реакцию на инцидент безопасности.”
Объединение реагирования на ИТ — инциденты с реагированием на инциденты безопасности означало, что обе команды теперь могли общаться в центральном месте, которое давало видимость процесса всем вовлеченным.
Подключение модуля безопасности к приложению управления изменениями AMP аналогично автоматизировало процесс запроса изменений, например, когда необходимо было исправить уязвимость или снизить риск.
“Автоматизация-это ключ, как и видимость того, что происходит. Когда вы работаете с электронными письмами, электронными таблицами, текстами и телефонными звонками, у вас на самом деле нет этого”, — сказал Нельсон.
Наличие шаблона для услуг, предоставляемых командой SecOps, таких как тестирование на проникновение, оценка рисков и конфиденциальности, чтобы люди могли “нажать кнопку и заказать”, также стало для нас “реальной экономией времени”, сказал Уэйкли. В настоящее время его команда добавляет еще 40 сервисов на платформу.
В то время как AMP теперь хвастается недельным поворотом для реагирования на инциденты безопасности, Уэйкли хочет свести это к “дням”.
— На самом деле мы только в начале пути,- сказал он.
