Cyberdilemmaer

SOAR-automatiseret containment på indikatorer vs. menneskelig godkendelse før isolering.

Beslutningen afvejer sikkerhed, forretning og indsigt. Nedenfor opsummeres konteksten, de mulige valg og argumenter – samt en åben diskussion fra fællesskabet.

Emne for diskussion

I et angreb betyder minutter meget. Automatiserede playbooks kan straks isolere værter/brugere/netværk ved detektion, men false positives kan give dyr forretningsafbrydelse. Manuel godkendelse reducerer fejl men øger responstiden. Hvad er den rigtige balance?

Argumentation

High probability of compromise + low business criticality → A or B.Critical systems (payment/production/OT) → D (auto only on low-risk actions) or C.Immature detection/logging → B (with strong rollback) or C, while detection quality is improved.
Mulige valg
  1. Fuld auto-containment: isolér straks på validerede IOCs/korrelerede alarmer.
  2. Semi-auto: automatisk karantæne i begrænset segment/sandbox; auto-rollback ved false positive.
  3. Kun manuel: on-call godkender alle isolationer.
  4. Hybrid: politik efter aktiv-kritikalitet/risko-score (fx auto for low/med; manuel for high-kritiske aktiver).

Diskussion

Ingen kommentarer endnu — bliv den første.

Skriv en kommentar