Secondo l'FBI, il numero di attacchi informatici segnalato alla loro divisione informatica è aumentato del 400 percento rispetto a livelli pre-pandemicie gli attacchi stanno peggiorando. Dai siti finanziari ai siti sanitari, dai siti governativi alle industrie della catena di approvvigionamento, nessuno è al sicuro da questi attacchi. La difesa tradizionale contro queste minacce è il Centro operativo di sicurezza (SOC) – una stanza piena di analisti che guardano gli avvisi di sicurezza sugli schermi TV – ma questa difesa non funziona molto bene – basta chiedere al sicurezza informatica team di Continental Pipeline, Target, TransUnion o di una qualsiasi delle centinaia di altre società che hanno subito attacchi significativi.
Come a SOC Funziona e non funziona
La teoria operativa alla base di a SOC è che se raccogli abbastanza dati in tutta l'azienda attraverso vari Strumenti informatici e di sicurezza, quindi utilizzare le piattaforme di analisi per classificare e visualizzare gli avvisi provenienti da diversi strumenti, quindi distribuire un team di analisti a più livelli per gestire e rispondere agli avvisi, quindi sicuramente, la maggior parte o tutti gli attacchi informatici verranno individuati rapidamente e gestiti prima che causino danni reali. L'esperienza del mondo reale ci dice il contrario.
Ci sono diversi motivi per cui il SOC modello è rotta. In primo luogo, tutti questi strumenti di sicurezza emettono MOLTI avvisi, migliaia, molti dei quali benigni. Ad esempio, un utente che in genere si trova in ufficio e accede da una posizione remota potrebbe attivare un avviso, oppure un utente che effettua l'accesso al di fuori dell'orario di lavoro potrebbe attivare un avviso. Gli analisti della sicurezza devono gestire centinaia o migliaia di questi avvisi "falsi positivi" ogni giorno.
Un altro motivo per cui SOCs il fallimento è che ciascuno degli strumenti di sicurezza informatica discreti in uso ha il proprio formato di dati e, spesso, la propria console e, in definitiva, descrive solo un singolo aspetto della posizione di sicurezza dell'organizzazione. Nel mondo di oggi, molti attacchi informatici complessi si verificano attraverso due o più vettori: non è solo qualcuno che sbatte contro un firewall, potrebbe essere un attacco di phishing tramite e-mail o un virus scaricato durante un aggiornamento di routine del programma (come con il Attacco SolarWinds). Il problema è che in un SOCNessuno vede nativamente il quadro completo: tale quadro deve essere correlato manualmente tra migliaia di avvisi da team di analisti. Poiché questo processo è manuale, non consente un'automazione robusta, né consente a ogni avviso di ricevere attenzione.
Quindi, ci sono troppi avvisi, troppi strumenti e non abbastanza correlazione automatica dei dati tra gli strumenti. Ma c'è anche un altro problema: non abbastanza analisti. Uno studio globale sui professionisti della sicurezza informatica di Associazione per la sicurezza dei sistemi informativi (ISSA) e società di analisi del settore Gruppo di strategia aziendale (ESG) segnala che un investimento insufficiente in strumenti di sicurezza informatica, combinato con la sfida di carichi di lavoro aggiuntivi per gli analisti, sta causando una carenza di competenze che sta portando a posti di lavoro non occupati e ad alto burnout tra il personale addetto alla sicurezza delle informazioni. E questo fa aumentare anche i costi degli analisti: un analista di sicurezza informatica di alto livello può guadagnare $ 200,000 all'anno.
Naturalmente, tutto questo sta accadendo in un mondo in cui gli attacchi informatici stanno diventando sempre più sofisticati e numerosi di mese in mese.
SOCmeno – Un altro modo
Ma cosa accadrebbe se le aziende abbandonassero il SOC idea? E se distribuissero le loro difese informatiche geograficamente ea un team di esperti di infrastrutture? E se una piattaforma automatizzasse il lavoro banale di risposta agli avvisi a bassa priorità e il complesso lavoro di correlazione tra tutti gli strumenti IT e di sicurezza? E se gli analisti dedicassero il loro tempo alla ricerca proattiva delle minacce e all'implementazione di politiche di best practice? E se la stanchezza da allerta non esistesse? È possibile?
È. Possiamo guardare ai team di sviluppo software per un esempio di come potrebbe funzionare. In DevOps, un approccio moderno allo sviluppo software, le migliori società di software del mondo non allineano i loro sviluppatori in file in una stanza, ma dispongono di sistemi che consentono collaborazioni asincrone da persone distribuite in tutto il mondo. Ma c'è molto di più oltre a dove si siedono le persone.
In DevOps, l'innovazione e la risoluzione dei bug sono un'operazione continua, 24 ore su 7, XNUMX giorni su XNUMX, basata su sistemi di integrazione continua e distribuzione continua (CI/CD). Il moderno CI/CD consente agli sviluppatori di concentrarsi sulla creazione e consente ai team più piccoli di creare prodotti che definiscono il mercato. Le attività banali e complesse sono completamente automatizzate in CI/CD e gli sviluppatori sono tenuti a implementare test proattivi per tutte le funzionalità che implementano. Ciò riduce significativamente errori e bug nei sistemi, consentendo agli sviluppatori di concentrarsi su ciò che conta di più.
Il tradizionale lavoro di a SOC sta mettendo a confronto un team dedicato di umani contro migliaia di avvisi. Ma le principali aziende tecnologiche hanno adottato un nuovo modello: avvisi affidabili, ben documentati e ad alta fedeltà attirano l'attenzione, ma la maggior parte degli avvisi può essere ignorata a causa dell'automazione. Le piattaforme di sicurezza informatica più avanzate inviano automaticamente avvisi di routine all'infrastruttura o al proprietario dell'applicazione responsabile di quella particolare area, che si tratti di un firewall, di un utente finale, di un'applicazione o di un server, insieme a una serie di risposte consigliate. Come Alessio Maestretti (attuale CISO presso Remily, ex Engineering Manager presso Netflix, dove si trova il team SecOps SOCDi meno) metterlo, questo è ciò che si intende per SOCmeno – decentralizzare il triage degli avvisi agli esperti di sistema. La soluzione per allertare la fatica non sono più esseri umani o più dati, ma robusti sistemi autonomi con processi decentralizzati.
Migrazione a SOCDi meno
Per fare questo Operazioni secondarie modello di lavoro, il dipartimento di sicurezza ha bisogno di persone che contribuiscano continuamente a modifiche significative delle politiche, strategie di rilevamento e playbook, senza fissare i monitor alla ricerca di avvisi. Ci vuole lavoro e impegno per raggiungere quello stato, ma se gli analisti monitorano sempre gli avvisi, non riusciranno mai a superare il problema. Per consentire la proattività, i team di sicurezza hanno bisogno del CI / CD equivalente per l'infrastruttura di sicurezza.
Il primo requisito è disporre di controlli fondamentali sulla gestione del rischio con le migliori pratiche igieniche facilmente applicabili. Un ottimo esempio di ciò è l'implementazione completa di Zero Trust; questo non solo migliora la tua posizione di sicurezza, ma riduce anche gli avvisi e il rumore, semplificando così il problema dei dati. Il secondo requisito è una sicurezza informatica piattaforma di rilevamento e risposta dove strategie e playbook possono essere implementati rapidamente. L'implementazione e la configurazione rapide sono fondamentali: il tempo dall'idea di rilevamento e risposta all'implementazione in produzione dovrebbe essere il più vicino possibile allo zero. Qualsiasi piattaforma di rilevamento e risposta che supporti questo sarà facile da usare e avrà un contenuto significativo pronto all'uso, inclusi rilevamenti basati sull'intelligenza artificiale e sull'apprendimento automatico, perché le regole non lo tagliano.
Partecipanti SOCmeno ci vuole più della tecnologia, tuttavia. Occorrono un team impegnato e processi reinventati: prendere confidenza con l'automazione significativa, fare in modo che i proprietari dell'infrastruttura ricevano avvisi pertinenti direttamente e dedicare la maggior parte del tempo al lavoro di sicurezza proattivo. Ci sarà sempre bisogno di persone, tuttavia, e per molte aziende aumentare il personale interno con un Managed Security Service Provider è un modo conveniente per rimanere proattivi. Un'impresa ha bisogno di persone per garantire che le giuste strategie siano continuamente implementate e un MSSP con un'implementazione co-gestita di una piattaforma di rilevamento e risposta consente alle aziende di aumentare il supporto in base alle esigenze. Come le aziende si sono rivolte al cloud per le offerte as-a-Service, possono rivolgersi a MSSP per SOC-come-servizio offerte. Questo aiuterà molti a completare l'interno SOCmeno transizione.
Quindi, esaminando attentamente le funzioni DevOps distribuite e mappandole alle operazioni di sicurezza distribuite (SecOps), le aziende possono iniziare a superare gli hacker in termini di individuazione e correzione di attacchi complessi. Ci vuole un vero cambiamento nella percezione per riuscirci, ma molte delle aziende più grandi e avanzate del pianeta se ne sono già andate SOCmeno. Forse è ora che lo facciano anche tutte le altre aziende.
