الذهاب SOCless

تطبيق صيد التهديد

وفقًا لمكتب التحقيقات الفيدرالي ، فإن عدد هجمات الكترونية المبلغ عنها إلى قسم الإنترنت لديهم بنسبة 400 بالمائة مقارنة بـ مستويات ما قبل الجائحة، والهجمات تزداد سوءًا. من المواقع المالية إلى مواقع الرعاية الصحية إلى المواقع الحكومية إلى صناعات سلسلة التوريد ، لا أحد في مأمن من هذه الهجمات. الدفاع التقليدي ضد هذه التهديدات هو مركز العمليات الأمنية (SOC) - غرفة مليئة بالمحللين الذين يراقبون التنبيهات الأمنية على شاشات التلفزيون - لكن هذا الدفاع لا يعمل جيدًا - فقط اسأل الأمن السيبراني فرق في Continental Pipeline أو Target أو TransUnion أو أي من مئات الشركات الأخرى التي تعرضت لهجمات كبيرة.

الشكل 1: شركة نفط الجنوب في العمل
الشكل 1: شركة نفط الجنوب في العمل

كيف يعمل مركز عمليات الأمان (SOC) ولا يعمل

نظرية التشغيل وراء أ شركة نفط الجنوب هو أنك إذا جمعت بيانات كافية عبر المؤسسة من خلال مختلف أدوات الأمن وتكنولوجيا المعلومات، ثم استخدم منصات التحليل لترتيب وتصور التنبيهات من أدوات مختلفة ، ثم نشر أخيرًا فريق محلل متعدد المستويات لإدارة التنبيهات والرد عليها ، ومن المؤكد أنه سيتم رصد معظم أو كل الهجمات الإلكترونية بسرعة والتعامل معها قبل أن تسبب ضررًا حقيقيًا. تجربة العالم الحقيقي تخبرنا بخلاف ذلك.

هناك عدة أسباب لماذا نموذج SOC مكسور. في المقام الأول ، تصدر كل أدوات الأمان هذه الكثير من التنبيهات - الآلاف منها ، والعديد منها غير ضار. على سبيل المثال ، يمكن للمستخدم الذي يكون عادةً في المكتب بتسجيل الدخول من موقع بعيد أن يطلق تنبيهًا ، أو يمكن لمستخدم يقوم بتسجيل الدخول خارج ساعات العمل أن يطلق تنبيهًا. يجب أن يتعامل محللو الأمن مع مئات أو آلاف من هذه التنبيهات "الإيجابية الكاذبة" كل يوم.

سبب آخر لماذا شركات نفط الجنوب الفشل هو أن كل أداة من أدوات الأمن السيبراني المنفصلة المستخدمة لها تنسيق بياناتها الخاص وغالبًا ما تكون وحدة التحكم الخاصة بها ، وفي النهاية تصور جانبًا واحدًا فقط من الوضع الأمني ​​للمؤسسة. في عالم اليوم ، تحدث العديد من الهجمات الإلكترونية المعقدة من خلال متجهين أو أكثر - فهي ليست مجرد شخص ما يهاجم جدار حماية ، بل قد يكون هجوم تصيد عبر البريد الإلكتروني ، أو فيروس يتم تنزيله أثناء تحديث روتيني للبرنامج (كما هو الحال مع هجوم SolarWinds). تكمن المشكلة في أنه في مركز عمليات SOC ، لا يرى أحد الصورة بالكامل - يجب ربط هذه الصورة يدويًا عبر آلاف التنبيهات بواسطة فرق المحللين. نظرًا لأن هذه العملية يدوية ، فإنها لا تسمح بأتمتة قوية ، كما أنها لا تسمح لكل تنبيه بجذب الانتباه.

لذلك ، هناك عدد كبير جدًا من التنبيهات ، والعديد من الأدوات ، ولا يوجد ارتباط تلقائي كافٍ للبيانات بين الأدوات. ولكن هناك أيضًا مشكلة أخرى: عدم كفاية المحللين. دراسة عالمية لمتخصصي الأمن السيبراني بواسطة جمعية أمن نظم المعلومات (ISSA) وشركة محلل الصناعة مجموعة إستراتيجية المؤسسة (ESG) تشير التقارير إلى أن قلة الاستثمار في أدوات الأمن السيبراني ، جنبًا إلى جنب مع التحدي المتمثل في أعباء العمل الإضافية للمحللين ، تسبب نقصًا في المهارات يؤدي إلى وظائف شاغرة وإرهاق كبير بين موظفي أمن المعلومات. وهذا يؤدي أيضًا إلى ارتفاع تكاليف المحللين: يمكن لمحلل الأمن السيبراني من الدرجة الأولى أن يكسب 200,000 دولار سنويًا.

بالطبع ، كل هذا يحدث في عالم تزداد فيه الهجمات الإلكترونية تعقيدًا وعددًا كل شهر.

SOCless - طريقة أخرى

ولكن ماذا لو تخلت الشركات عن شركة نفط الجنوب فكرة؟ ماذا لو وزعوا دفاعاتهم الإلكترونية جغرافيًا وعلى فريق من خبراء البنية التحتية؟ ماذا لو أتمت النظام الأساسي العمل العادي المتمثل في الاستجابة للتنبيهات ذات الأولوية المنخفضة والعمل المعقد للربط عبر جميع أدوات تكنولوجيا المعلومات والأمان؟ ماذا لو قضى المحللون وقتهم بشكل استباقي في البحث عن التهديدات وتنفيذ سياسات أفضل الممارسات؟ ماذا لو لم يكن إرهاق التنبيه موجودًا؟ هل هذا ممكن؟

أنه. يمكننا أن ننظر إلى فرق تطوير البرامج للحصول على مثال لكيفية عملها. في DevOps ، وهو نهج حديث لتطوير البرامج ، لا تصطف أفضل شركات البرمجيات في العالم مطوريها في صفوف في غرفة واحدة - لديهم أنظمة تسمح بالتعاون غير المتزامن من الأشخاص الموزعين حول العالم. ولكن هناك ما هو أكثر بكثير من مجرد مكان جلوس الناس.

في DevOps ، يعد الابتكار وإصلاح الأخطاء عملية مستمرة على مدار الساعة طوال أيام الأسبوع مبنية على قمة التكامل المستمر وأنظمة التسليم المستمر (CI / CD). يسمح CI / CD الحديث للمطورين بالتركيز على البناء وتمكين أصغر الفرق من بناء منتجات تحدد السوق. المهام العادية والمعقدة مؤتمتة بالكامل في CI / CD ، والمطورين مطالبون بوضع اختبار استباقي لجميع الميزات التي يطرحونها. هذا يقلل بشكل كبير من الأخطاء والأخطاء في الأنظمة مما يسمح للمطورين بالتركيز على الأمور الأكثر أهمية.

العمل التقليدي ل شركة نفط الجنوب يضع فريقًا مخصصًا من البشر في مواجهة آلاف التنبيهات. لكن شركات التكنولوجيا الرائدة اعتمدت نموذجًا جديدًا: تنبيهات موثوقة وموثقة جيدًا وعالية الدقة تجذب الانتباه ، ولكن يمكن تجاهل معظم التنبيهات بسبب الأتمتة. ترسل منصات الأمن السيبراني الأكثر تقدمًا تنبيهات روتينية تلقائيًا إلى البنية التحتية أو مالك التطبيق المسؤول عن تلك المنطقة بالذات - سواء كان جدار حماية أو مستخدمًا نهائيًا أو تطبيقًا أو خادمًا - جنبًا إلى جنب مع مجموعة من الاستجابات الموصى بها. كما أليكس مايستريتي (CISO الحالي في Remily ، مدير الهندسة السابق في Netflix ، حيث فريق SecOps ليس SOCless) وضعه، هذا هو المقصود ب SOCless - اللامركزية في فرز التنبيهات لخبراء النظام. الحل لتنبيه التعب ليس المزيد من البشر أو المزيد من البيانات ، إنه أنظمة مستقلة قوية مع عمليات لامركزية.

الشكل 2: SOCless في الممارسة العملية مقارنة بالنهج المستندة إلى SOC إلى SecOps.

الهجرة إلى SOCLess

لجعل هذا SecOps العمل النموذجي ، يحتاج قسم الأمن إلى أشخاص يساهمون باستمرار في تغييرات سياسية ذات مغزى واستراتيجيات الكشف وكتيبات اللعب ، وليس التحديق في الشاشات التي تبحث عن التنبيهات. يتطلب الأمر عملاً والتزامًا للوصول إلى هذه الحالة ، ولكن إذا كان المحللون يراقبون التنبيهات دائمًا ، فلن يتغلبوا على المشكلة أبدًا. لتمكين الاستباقية ، تحتاج فرق الأمان إلى CI / CD ما يعادل البنية التحتية الأمنية.

الشرط الأول هو وجود ضوابط أساسية لإدارة المخاطر مع تطبيق أفضل ممارسات النظافة بسهولة. أحد الأمثلة البارزة على ذلك هو التنفيذ الشامل لـ Zero Trust ؛ هذا لا يحسن وضعك الأمني ​​فحسب ، بل يقلل أيضًا من التنبيهات والضوضاء ، وبالتالي يبسط مشكلة البيانات. الشرط الثاني هو الأمن السيبراني منصة الكشف والاستجابة حيث يمكن نشر الاستراتيجيات وكتيبات اللعب بسرعة. يعد النشر والتكوين السريع أمرًا بالغ الأهمية - يجب أن يكون الوقت من فكرة الاكتشاف والاستجابة إلى نشر الإنتاج قريبًا من الصفر قدر الإمكان. سيكون أي نظام أساسي للاكتشاف والاستجابة يدعم ذلك سهل الاستخدام ويحتوي على محتوى كبير خارج الصندوق ، بما في ذلك الاكتشافات القائمة على الذكاء الاصطناعي والتعلم الآلي ، لأن القواعد لا تقضي عليه.

الذهاب SOCless يأخذ أكثر من التكنولوجيا ، ومع ذلك. يتطلب الأمر فريقًا ملتزمًا وعمليات مُعاد تصورها - الشعور بالراحة مع الأتمتة الكبيرة ، وتلقي مالكي البنية التحتية للتنبيهات ذات الصلة مباشرةً ، وتخصيص معظم الوقت للعمل الأمني ​​الاستباقي. ومع ذلك ، ستكون هناك حاجة دائمًا إلى الأشخاص ، وبالنسبة للعديد من المؤسسات ، فإن زيادة الموظفين الداخليين باستخدام مقدم خدمة أمان مُدار يعد وسيلة فعالة من حيث التكلفة للبقاء استباقيًا. تحتاج المؤسسة إلى أشخاص للتأكد من نشر الاستراتيجيات الصحيحة باستمرار ، و MSSPs من خلال النشر المُدار بشكل مشترك لمنصة الكشف والاستجابة ، تمكن المؤسسات من زيادة الدعم حسب الحاجة. مثلما تحولت المؤسسات إلى السحابة للحصول على عروض كخدمة ، يمكنهم اللجوء إليها MSSPs لل SOC كخدمة العروض. وهذا سيساعد الكثيرين في استكمال الداخلية SOCless انتقال.

لذلك ، من خلال إلقاء نظرة فاحصة على وظائف DevOps الموزعة وتعيين ذلك لعمليات الأمان الموزعة (SecOps) ، يمكن للشركات أن تبدأ في التفوق على المتسللين من حيث اكتشاف الهجمات المعقدة ومعالجتها. يتطلب الأمر تغييرًا حقيقيًا في التصور لإنجازه ، لكن العديد من أكبر الشركات وأكثرها تقدمًا على هذا الكوكب قد ذهبت بالفعل SOCless. ربما حان الوقت فعلت كل شركة أخرى أيضًا.