जा रहे हैं? SOCकम

एफबीआई के अनुसार, की संख्या साइबर हमले उनके साइबर डिवीजन को सूचित किया गया है कि यह की तुलना में 400 प्रतिशत अधिक है महामारी से पहले का स्तर, और हमले बदतर हो रहे हैं। वित्तीय साइटों से लेकर स्वास्थ्य सेवा साइटों तक, सरकारी साइटों से लेकर आपूर्ति श्रृंखला उद्योगों तक, इन हमलों से कोई भी सुरक्षित नहीं है। इन खतरों के खिलाफ पारंपरिक बचाव है सुरक्षा संचालन केंद्र (SOC) - टीवी स्क्रीन पर सुरक्षा अलर्ट देखने वाले विश्लेषकों से भरा कमरा - लेकिन यह बचाव बहुत अच्छी तरह से काम नहीं कर रहा है - बस पूछें साइबर सुरक्षा कॉन्टिनेंटल पाइपलाइन, टारगेट, ट्रांसयूनियन या सैकड़ों अन्य कंपनियों में से कोई भी टीम जिन्होंने महत्वपूर्ण हमलों का अनुभव किया है।

कैसे ए SOC काम करता है, और काम नहीं करता है

ए के पीछे ऑपरेटिंग सिद्धांत SOC यह है कि यदि आप विभिन्न के माध्यम से उद्यम भर में पर्याप्त डेटा एकत्र करते हैं आईटी और सुरक्षा उपकरण, फिर विभिन्न टूल से अलर्ट को रैंक और विज़ुअलाइज़ करने के लिए विश्लेषण प्लेटफ़ॉर्म का उपयोग करें, फिर अंत में अलर्ट को प्रबंधित करने और प्रतिक्रिया देने के लिए एक स्तरीय विश्लेषक टीम को तैनात करें, फिर निश्चित रूप से, अधिकांश या सभी साइबर हमलों को वास्तविक नुकसान पहुंचाने से पहले जल्दी से देखा और संभाला जाएगा। वास्तविक दुनिया का अनुभव हमें अन्यथा बताता है।

इसके कई कारण हैं SOC आदर्श टूट गया है। सबसे पहले, वे सभी सुरक्षा उपकरण बहुत सारे अलर्ट जारी करते हैं - उनमें से हजारों, जिनमें से कई सौम्य हैं। उदाहरण के लिए, एक उपयोगकर्ता जो आमतौर पर कार्यालय में किसी दूरस्थ स्थान से लॉग इन कर रहा है, एक अलर्ट ट्रिगर कर सकता है, या एक उपयोगकर्ता जो व्यावसायिक घंटों के बाहर लॉग इन कर सकता है वह अलर्ट ट्रिगर कर सकता है। सुरक्षा विश्लेषकों को हर दिन सैकड़ों या हजारों "झूठे सकारात्मक" अलर्ट से निपटना चाहिए।

एक और कारण SOCs विफल यह है कि उपयोग में आने वाले प्रत्येक असतत साइबर सुरक्षा उपकरण का अपना डेटा प्रारूप होता है और अक्सर इसका अपना कंसोल होता है, और अंततः संगठन की सुरक्षा मुद्रा के केवल एक पहलू को दर्शाता है। आज की दुनिया में, कई जटिल साइबर हमले दो या दो से अधिक वैक्टरों के माध्यम से होते हैं - यह सिर्फ किसी फ़ायरवॉल के खिलाफ नहीं है, यह ई-मेल के माध्यम से फ़िशिंग हमला हो सकता है, या नियमित प्रोग्राम अपडेट के दौरान डाउनलोड किया गया वायरस हो सकता है (जैसा कि सोलरवाइंड पर हमलासमस्या यह है कि एक SOCइस प्रक्रिया में, किसी को भी स्वाभाविक रूप से पूरी तस्वीर दिखाई नहीं देती – उस पूरी तस्वीर को विश्लेषकों की टीमों द्वारा हजारों अलर्ट्स के बीच मैन्युअल रूप से सहसंबंधित किया जाना चाहिए। चूंकि यह प्रक्रिया मैन्युअल है, इसलिए यह मजबूत स्वचालन की अनुमति नहीं देती है, और न ही यह हर अलर्ट पर ध्यान देने की सुविधा देती है।

इसलिए, बहुत सारे अलर्ट हैं, बहुत सारे टूल हैं, और टूल के बीच पर्याप्त स्वचालित डेटा सहसंबंध नहीं है। लेकिन एक और समस्या है: पर्याप्त विश्लेषक नहीं। साइबर सुरक्षा पेशेवरों का एक वैश्विक अध्ययन सूचना प्रणाली सुरक्षा संघ (आईएसएसए) और उद्योग विश्लेषक फर्म उद्यम रणनीति समूह (ईएसजी) रिपोर्ट में कहा गया है कि साइबर सुरक्षा उपकरणों में कम निवेश, विश्लेषकों के लिए अतिरिक्त कार्यभार की चुनौती के साथ, कौशल की कमी पैदा कर रहा है, जिसके कारण सूचना सुरक्षा कर्मचारियों के बीच अधूरे काम और उच्च बर्नआउट हो रहे हैं। और इससे विश्लेषक की लागत भी बढ़ जाती है: एक शीर्ष स्तरीय साइबर सुरक्षा विश्लेषक प्रति वर्ष $ 200,000 कमा सकता है।

बेशक, यह सब उस दुनिया में हो रहा है जहां साइबर हमले महीने के हिसाब से अधिक परिष्कृत और असंख्य होते जा रहे हैं।

SOCकम – दूसरा तरीका

लेकिन क्या हुआ अगर कंपनियों ने छोड़ दिया SOC विचार? क्या होगा यदि उन्होंने भौगोलिक रूप से और बुनियादी ढांचा विशेषज्ञों की एक टीम को अपनी साइबर सुरक्षा वितरित की? क्या होगा यदि एक मंच कम प्राथमिकता वाले अलर्ट का जवाब देने के सांसारिक कार्य और सभी आईटी और सुरक्षा उपकरणों में सहसंबंध के जटिल कार्य को स्वचालित कर देता है? क्या होगा यदि विश्लेषकों ने अपना समय लगातार खतरों की तलाश में और सर्वोत्तम अभ्यास नीतियों को लागू करने में बिताया? क्या होगा अगर सतर्क थकान मौजूद नहीं है? क्या यह संभव है?

यह है। हम सॉफ्टवेयर विकास टीमों को एक उदाहरण के लिए देख सकते हैं कि यह कैसे काम कर सकता है। सॉफ्टवेयर विकास के लिए एक आधुनिक दृष्टिकोण, DevOps में, दुनिया की सर्वश्रेष्ठ सॉफ्टवेयर कंपनियां अपने डेवलपर्स को एक कमरे में पंक्तियों में पंक्तिबद्ध नहीं करती हैं - उनके पास ऐसे सिस्टम हैं जो दुनिया भर में वितरित लोगों से अतुल्यकालिक सहयोग की अनुमति देते हैं। लेकिन इसके अलावा भी बहुत कुछ है जहां लोग बैठते हैं।

DevOps में, नवोन्मेष और बग-फिक्सिंग निरंतर एकीकरण और निरंतर वितरण (CI/CD) सिस्टम के शीर्ष पर निर्मित एक सतत, 24/7 ऑपरेशन है। आधुनिक CI/CD डेवलपर्स को निर्माण पर ध्यान केंद्रित करने की अनुमति देता है और सबसे छोटी टीमों को बाजार-परिभाषित उत्पादों का निर्माण करने में सक्षम बनाता है। सीआई/सीडी में सांसारिक और जटिल कार्य पूरी तरह से स्वचालित हैं, और डेवलपर्स को उन सभी सुविधाओं के लिए सक्रिय परीक्षण स्थापित करने की आवश्यकता है जो वे रोल आउट करते हैं। यह सिस्टम में त्रुटियों और बग को महत्वपूर्ण रूप से कम करता है जो डेवलपर्स को सबसे महत्वपूर्ण चीज़ों पर ध्यान केंद्रित करने की अनुमति देता है।

का पारंपरिक कार्य SOC हजारों अलर्ट के खिलाफ मनुष्यों की एक समर्पित टीम को खड़ा कर रहा है। लेकिन प्रमुख प्रौद्योगिकी कंपनियों ने एक नया मॉडल अपनाया है: विश्वसनीय, अच्छी तरह से प्रलेखित, उच्च-निष्ठा अलर्ट पर ध्यान दिया जाता है, लेकिन स्वचालन के कारण अधिकांश अलर्ट को अनदेखा किया जा सकता है। सबसे उन्नत साइबर सुरक्षा प्लेटफ़ॉर्म स्वचालित रूप से उस विशेष क्षेत्र के लिए ज़िम्मेदार बुनियादी ढांचे या एप्लिकेशन स्वामी को नियमित अलर्ट भेजते हैं - चाहे वह फ़ायरवॉल हो, अंतिम उपयोगकर्ता हो, एप्लिकेशन या सर्वर हो - अनुशंसित प्रतिक्रियाओं के एक सेट के साथ। जैसा एलेक्स मेस्ट्रेटी (रेमिली में वर्तमान सीआईएसओ, नेटफ्लिक्स में पूर्व इंजीनियरिंग मैनेजर, जहां सेकऑप्स टीम है) SOCकम) इसे रखें, इसका मतलब है SOCकम - सिस्टम विशेषज्ञों के लिए अलर्ट ट्राइएज का विकेंद्रीकरण। थकान को सचेत करने का समाधान अधिक मानव या अधिक डेटा नहीं है, यह विकेंद्रीकृत प्रक्रियाओं के साथ मजबूत स्वायत्त प्रणाली है।

की ओर पलायन कर रहा है SOCकम

इसे बनाने के लिए सेकऑप्स मॉडल काम, सुरक्षा विभाग को अलर्ट की तलाश में मॉनिटर को घूरते हुए नहीं, बल्कि सार्थक नीति परिवर्तन, पता लगाने की रणनीतियों और प्लेबुक में लगातार योगदान देने वाले लोगों की आवश्यकता है। उस स्थिति तक पहुंचने के लिए काम और प्रतिबद्धता की आवश्यकता होती है, लेकिन अगर विश्लेषक हमेशा अलर्ट की निगरानी कर रहे हैं, तो वे कभी भी समस्या से आगे नहीं बढ़ पाएंगे। सक्रियता को सक्षम करने के लिए, सुरक्षा टीमों को चाहिए सीआई / सीडी सुरक्षा बुनियादी ढांचे के बराबर।

पहली आवश्यकता यह है कि मुख्य जोखिम प्रबंधन नियंत्रण स्वच्छता के साथ सर्वोत्तम प्रथाओं को आसानी से लागू किया जाए। इसका एक प्रमुख उदाहरण जीरो ट्रस्ट का संपूर्ण कार्यान्वयन है; यह न केवल आपकी सुरक्षा मुद्रा में सुधार करता है बल्कि अलर्ट और शोर को भी कम करता है, जिससे डेटा समस्या सरल हो जाती है। दूसरी आवश्यकता एक साइबर सुरक्षा है पता लगाने और प्रतिक्रिया मंच जहां रणनीतियों और प्लेबुक को तेजी से तैनात किया जा सकता है। तेजी से परिनियोजन और कॉन्फ़िगरेशन सर्वोपरि हैं - पता लगाने और प्रतिक्रिया के विचार से लेकर उत्पादन परिनियोजन तक का समय यथासंभव शून्य के करीब होना चाहिए। इसका समर्थन करने वाले किसी भी डिटेक्शन और रिस्पांस प्लेटफॉर्म का उपयोग करना आसान होगा और इसमें एआई- और मशीन लर्निंग-आधारित डिटेक्शन सहित महत्वपूर्ण आउट-ऑफ-द-बॉक्स सामग्री होगी, क्योंकि नियम इसे काटते नहीं हैं।

जा रहे हैं? SOCकम हालाँकि, तकनीक से अधिक लेता है। यह एक प्रतिबद्ध टीम और पुनर्कल्पित प्रक्रियाओं को लेता है - महत्वपूर्ण स्वचालन के साथ सहज होना, बुनियादी ढांचे के मालिकों को सीधे प्रासंगिक अलर्ट प्राप्त करना, और सक्रिय सुरक्षा कार्य के लिए बहुमत समय समर्पित करना। हालांकि, लोगों की हमेशा आवश्यकता होगी, और कई उद्यमों के लिए एक प्रबंधित सुरक्षा सेवा प्रदाता के साथ आंतरिक कर्मियों को बढ़ाना सक्रिय रहने का एक लागत प्रभावी तरीका है। एक उद्यम को यह सुनिश्चित करने के लिए लोगों की आवश्यकता होती है कि सही रणनीतियों को लगातार तैनात किया जाता है, और एक MSSPs एक पहचान और प्रतिक्रिया मंच की सह-प्रबंधित तैनाती के साथ उद्यमों को आवश्यकतानुसार समर्थन बढ़ाने में सक्षम बनाता है। जैसे उद्यमों ने सेवा के रूप में पेशकशों के लिए क्लाउड की ओर रुख किया है, वे इस ओर मुड़ सकते हैं एमएसएसपी एसटी SOC-ए-ए-सर्विस प्रसाद। यह आंतरिक को पूरा करने में कई लोगों की सहायता करेगा SOCकम संक्रमण।

इसलिए, वितरित DevOps फ़ंक्शंस पर एक अच्छी नज़र डालकर और वितरित सुरक्षा संचालन (SecOps) के लिए मैपिंग करके, कंपनियां जटिल हमलों का पता लगाने और उन्हें दूर करने के मामले में हैकर्स से आगे निकलना शुरू कर सकती हैं। इसे दूर करने के लिए धारणा में एक वास्तविक परिवर्तन होता है, लेकिन ग्रह पर कई सबसे बड़ी और सबसे उन्नत कंपनियां पहले ही जा चुकी हैं SOCकम. हो सकता है कि यह समय हर दूसरी कंपनी ने भी किया हो।