Nach Angaben des FBI ist die Zahl der Cyber-Angriffe die ihrer Cyber Division gemeldet wurden, ist im Vergleich zu 400 Prozent gestiegen Präpandemieniveaus, und Angriffe werden immer schlimmer. Von Finanz-Websites über Gesundheits-Websites und Behörden-Websites bis hin zu Lieferkettenbranchen ist niemand vor diesen Angriffen sicher. Die traditionelle Verteidigung gegen diese Bedrohungen ist die Sicherheitsoperationszentrum (SOC) – ein Raum voller Analysten, die auf Fernsehbildschirmen nach Sicherheitswarnungen Ausschau halten – aber diese Verteidigung funktioniert nicht sehr gut – fragen Sie einfach die Internet-Sicherheit Teams bei Continental Pipeline, Target, TransUnion oder einem von Hunderten anderer Unternehmen, die erhebliche Angriffe erlebt haben.
Wie ein SOC Funktioniert und funktioniert nicht
Die Betriebstheorie hinter a SOC ist das, wenn Sie genügend Daten im gesamten Unternehmen durch verschiedene sammeln IT- und Sicherheitstools, verwenden Sie dann Analyseplattformen, um die Warnungen von verschiedenen Tools einzustufen und zu visualisieren, und stellen Sie schließlich ein abgestuftes Analystenteam ein, um die Warnungen zu verwalten und darauf zu reagieren, dann werden die meisten oder alle Cyberangriffe mit Sicherheit schnell erkannt und behandelt, bevor sie echten Schaden anrichten. Die Erfahrung aus der Praxis sagt uns etwas anderes.
Es gibt mehrere Gründe, warum die SOC Modell ist kaputt. Erstens geben all diese Sicherheitstools VIELE Warnungen aus – Tausende von ihnen, von denen viele harmlos sind. Beispielsweise könnte ein Benutzer, der sich normalerweise im Büro befindet und sich von einem entfernten Standort aus anmeldet, eine Warnung auslösen, oder ein Benutzer, der sich außerhalb der Geschäftszeiten anmeldet, könnte eine Warnung auslösen. Sicherheitsanalysten müssen sich jeden Tag mit Hunderten oder Tausenden dieser „False-Positive“-Warnungen auseinandersetzen.
Ein weiterer Grund warum SOCs scheitern, dass jedes einzelne verwendete Cybersicherheitstool sein eigenes Datenformat und oft auch seine eigene Konsole hat und letztendlich nur einen einzelnen Aspekt der Sicherheitslage der Organisation abbildet. In der heutigen Welt erfolgen viele komplexe Cyberangriffe über zwei oder mehr Vektoren – es ist nicht nur jemand, der gegen eine Firewall schlägt, es könnte ein Phishing-Angriff per E-Mail oder ein Virus sein, der während einer routinemäßigen Programmaktualisierung heruntergeladen wird (wie bei der SolarWinds greifen anDas Problem ist, dass in einem SOCNiemand hat von Natur aus den Überblick – dieses Bild muss von Analystenteams manuell aus Tausenden von Warnmeldungen korreliert werden. Da dieser Prozess manuell ist, lässt er weder eine robuste Automatisierung zu, noch stellt er sicher, dass jede Warnmeldung die nötige Aufmerksamkeit erhält.
Es gibt also zu viele Warnungen, zu viele Tools und nicht genügend automatische Datenkorrelation zwischen Tools. Aber es gibt noch ein weiteres Problem: zu wenig Analysten. Eine globale Studie von Cybersicherheitsexperten von Vereinigung für Sicherheit von Informationssystemen (ISSA) und Branchenanalyseunternehmen Unternehmensstrategiegruppe (ESG) berichtet, dass zu geringe Investitionen in Cybersicherheitstools in Verbindung mit der Herausforderung zusätzlicher Arbeitsbelastung für Analysten zu einem Fachkräftemangel führen, der zu unbesetzten Stellen und einem hohen Burnout bei Mitarbeitern für Informationssicherheit führt. Und das treibt auch die Analystenkosten in die Höhe: Ein Top-Tier-Cybersicherheitsanalyst kann 200,000 US-Dollar pro Jahr verdienen.
All dies geschieht natürlich in einer Welt, in der Cyberangriffe von Monat zu Monat raffinierter und zahlreicher werden.
SOCweniger – Ein anderer Weg
Aber was wäre, wenn Unternehmen das aufgeben würden SOC Idee? Was wäre, wenn sie ihre Cyber-Abwehr geografisch und auf ein Team von Infrastrukturexperten verteilen würden? Was wäre, wenn eine Plattform die alltägliche Arbeit der Reaktion auf Warnungen mit niedriger Priorität und die komplexe Arbeit der Korrelation zwischen allen IT- und Sicherheitstools automatisieren würde? Was wäre, wenn Analysten ihre Zeit damit verbringen würden, proaktiv nach Bedrohungen zu suchen und Best-Practice-Richtlinien umzusetzen? Was wäre, wenn es keine Alarmmüdigkeit gäbe? Ist das möglich?
Es ist. Wir können uns an Softwareentwicklungsteams wenden, um ein Beispiel dafür zu erhalten, wie es funktionieren könnte. Bei DevOps, einem modernen Ansatz zur Softwareentwicklung, stellen die besten Softwareunternehmen der Welt ihre Entwickler nicht in Reihen in einem Raum auf – sie verfügen über Systeme, die eine asynchrone Zusammenarbeit von verteilten Personen auf der ganzen Welt ermöglichen. Aber es geht um viel mehr als nur darum, wo Menschen sitzen.
Bei DevOps sind Innovation und Bugfixing ein kontinuierlicher, rund um die Uhr verfügbarer Vorgang, der auf Systemen für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) aufbaut. Modernes CI/CD ermöglicht es Entwicklern, sich auf das Erstellen zu konzentrieren, und ermöglicht es den kleinsten Teams, marktbestimmende Produkte zu entwickeln. Alltägliche und komplexe Aufgaben werden in CI/CD vollständig automatisiert, und Entwickler müssen für alle Funktionen, die sie einführen, proaktive Tests durchführen. Dadurch werden Fehler und Fehler in den Systemen erheblich reduziert, sodass sich Entwickler auf das Wesentliche konzentrieren können.
Die traditionelle Arbeit eines SOC stellt ein engagiertes Team von Menschen Tausenden von Warnungen gegenüber. Aber führende Technologieunternehmen haben ein neues Modell eingeführt: Vertrauenswürdige, gut dokumentierte High-Fidelity-Warnungen erhalten Aufmerksamkeit, aber die meisten Warnungen können aufgrund der Automatisierung ignoriert werden. Die fortschrittlichsten Cybersicherheitsplattformen senden automatisch Routinewarnungen an die Infrastruktur oder den Anwendungseigentümer, die für diesen bestimmten Bereich verantwortlich sind – unabhängig davon, ob es sich um eine Firewall, einen Endbenutzer, eine Anwendung oder einen Server handelt – zusammen mit einer Reihe von empfohlenen Reaktionen. Als Alex Maestretti (derzeitiger CISO bei Remily, ehemaliger Engineering Manager bei Netflix, wo das SecOps-Team SOCweniger) Leg es, das ist gemeint SOCweniger – Dezentralisierung der Alarmtriage an Systemexperten. Die Lösung zur Warnung vor Müdigkeit sind nicht mehr Menschen oder mehr Daten, sondern robuste autonome Systeme mit dezentralen Prozessen.
Migration nach SOCWeniger
Um das zu machen SecOps Modellarbeit benötigt die Sicherheitsabteilung Mitarbeiter, die kontinuierlich sinnvolle Richtlinienänderungen, Erkennungsstrategien und Playbooks beitragen und nicht auf Monitore starren, die nach Warnungen suchen. Es erfordert Arbeit und Engagement, um diesen Zustand zu erreichen, aber wenn Analysten ständig Warnungen überwachen, werden sie dem Problem nie zuvorkommen. Um Proaktivität zu ermöglichen, benötigen Sicherheitsteams die CI / CD Äquivalent für Sicherheitsinfrastruktur.
Die erste Voraussetzung sind zentrale Risikomanagementkontrollen mit einfach anzuwendenden Hygiene-Best-Practices. Ein Paradebeispiel dafür ist die konsequente Umsetzung von Zero Trust; Dies verbessert nicht nur Ihre Sicherheitslage, sondern reduziert auch Warnungen und Lärm, wodurch das Datenproblem vereinfacht wird. Die zweite Anforderung ist eine Cybersicherheit Erkennungs- und Reaktionsplattform wo Strategien und Playbooks schnell eingesetzt werden können. Schnelle Bereitstellung und Konfiguration sind von größter Bedeutung – die Zeit von der Erkennung und Reaktionsidee bis zur Bereitstellung in der Produktion sollte so nahe wie möglich bei Null liegen. Jede Erkennungs- und Reaktionsplattform, die dies unterstützt, ist einfach zu bedienen und verfügt über umfangreiche sofort einsatzbereite Inhalte, einschließlich Erkennungen auf der Grundlage von KI und maschinellem Lernen, da Regeln nicht ausreichen.
Teilnehmen SOCweniger erfordert jedoch mehr als Technologie. Es erfordert ein engagiertes Team und neu konzipierte Prozesse – sich mit einer signifikanten Automatisierung vertraut machen, Infrastrukturbesitzer relevante Warnungen direkt erhalten lassen und die meiste Zeit für proaktive Sicherheitsarbeit aufwenden. Es wird jedoch immer einen Bedarf an Personal geben, und für viele Unternehmen ist die Aufstockung des internen Personals durch einen Managed Security Service Provider eine kostengünstige Möglichkeit, proaktiv zu bleiben. Ein Unternehmen braucht Menschen, die sicherstellen, dass die richtigen Strategien kontinuierlich umgesetzt werden, und an MSSPs Mit einer gemeinsam verwalteten Bereitstellung einer Erkennungs- und Reaktionsplattform können Unternehmen den Support nach Bedarf skalieren. So wie Unternehmen sich für As-a-Service-Angebote an die Cloud gewandt haben, können sie sich an sie wenden MSSPs für SOC-als-a-Service Angebote. Dies wird vielen helfen, das Interne zu vervollständigen SOCweniger Übergang.
Indem sie also verteilte DevOps-Funktionen genau unter die Lupe nehmen und diese auf verteilte Sicherheitsoperationen (SecOps) abbilden, können Unternehmen den Hackern bei der Erkennung und Abwehr komplexer Angriffe einen Schritt voraus sein. Es braucht eine echte Veränderung in der Wahrnehmung, um das durchzuziehen, aber viele der größten und fortschrittlichsten Unternehmen der Welt sind bereits gegangen SOCweniger. Vielleicht ist es an der Zeit, dass es auch alle anderen Unternehmen tun.
