Volgens de FBI is het aantal cyberaanvallen gerapporteerd aan hun Cyber-divisie is met 400 procent gestegen in vergelijking met pre-pandemische niveausen aanvallen worden erger. Van financiële sites tot zorginstellingen tot overheidssites tot toeleveringsketens, niemand is veilig voor deze aanvallen. De traditionele verdediging tegen deze bedreigingen is de Beveiligingsoperatiecentrum (SOC) – een kamer vol analisten die letten op veiligheidswaarschuwingen op tv-schermen – maar deze verdediging werkt niet erg goed – vraag het maar aan de internetveiligheid teams bij Continental Pipeline, Target, TransUnion of een van de honderden andere bedrijven die significante aanvallen hebben meegemaakt.
Hoe een SOC Werkt wel, en werkt niet
De werkingstheorie achter a SOC is dat als u voldoende gegevens in de hele onderneming verzamelt via verschillende IT- en beveiligingstools, gebruik vervolgens analyseplatforms om de waarschuwingen van verschillende tools te rangschikken en te visualiseren, en zet tenslotte een gelaagd analistenteam in om de waarschuwingen te beheren en erop te reageren, dan zullen zeker de meeste of alle cyberaanvallen snel worden opgemerkt en afgehandeld voordat ze echte schade aanrichten. Ervaring uit de praktijk leert ons anders.
Er zijn verschillende redenen waarom de SOC model is kapot. In de eerste plaats geven al die beveiligingstools VEEL waarschuwingen af - duizenden, waarvan er vele goedaardig zijn. Een gebruiker die zich doorgaans op kantoor aanmeldt vanaf een externe locatie, kan bijvoorbeeld een waarschuwing activeren, of een gebruiker die zich buiten kantooruren aanmeldt, kan een waarschuwing activeren. Beveiligingsanalisten hebben dagelijks te maken met honderden of duizenden van deze 'false positive'-waarschuwingen.
Een andere reden waarom SOCs falen is dat elk van de discrete cyberbeveiligingstools die in gebruik zijn, zijn eigen gegevensformaat en vaak zijn eigen console heeft, en uiteindelijk slechts een enkel aspect van de beveiligingshouding van de organisatie weergeeft. In de wereld van vandaag vinden veel complexe cyberaanvallen plaats via twee of meer vectoren – het is niet alleen iemand die tegen een firewall bonst, het kan ook een phishing-aanval zijn via e-mail of een virus dat is gedownload tijdens een routinematige programma-update (zoals bij de SolarWinds-aanval). Het probleem is dat in een SOCNiemand heeft van nature een volledig overzicht – dat overzicht moet handmatig worden samengesteld uit duizenden meldingen door teams van analisten. Omdat dit proces handmatig is, is robuuste automatisering niet mogelijk en krijgt niet elke melding de aandacht die nodig is.
Er zijn dus te veel waarschuwingen, te veel tools en te weinig automatische gegevenscorrelatie tussen tools. Maar er is ook een ander probleem: niet genoeg analisten. Een wereldwijd onderzoek onder cyberbeveiligingsprofessionals door Vereniging voor informatiesystemenbeveiliging (ISSA) en industrie-analistenbureau Ondernemingsstrategiegroep (ESG) meldt dat onderinvestering in cyberbeveiligingstools, in combinatie met de uitdaging van extra werklast voor analisten, een tekort aan vaardigheden veroorzaakt dat leidt tot onvervulde banen en een hoge mate van burn-out onder informatiebeveiligingspersoneel. En dat verhoogt ook de kosten voor analisten: een cybersecurity-analist van het hoogste niveau kan $ 200,000 per jaar verdienen.
Dit alles gebeurt natuurlijk in een wereld waar cyberaanvallen met de maand geavanceerder en talrijker worden.
SOCminder – Een andere manier
Maar wat als bedrijven de? SOC idee? Wat als ze hun cyberbeveiliging geografisch en onder een team van infrastructuurexperts zouden verspreiden? Wat als een platform het alledaagse werk van het reageren op waarschuwingen met lage prioriteit en het complexe werk van correlatie tussen alle IT- en beveiligingstools zou automatiseren? Wat als analisten hun tijd proactief besteden aan het zoeken naar bedreigingen en het implementeren van best practice-beleid? Wat als alerte vermoeidheid niet bestond? Is dit mogelijk?
Het is. We kunnen kijken naar softwareontwikkelingsteams voor een voorbeeld van hoe het zou kunnen werken. In DevOps, een moderne benadering van softwareontwikkeling, zetten de beste softwarebedrijven ter wereld hun ontwikkelaars niet in rijen in één kamer - ze hebben systemen die asynchrone samenwerkingen van verspreide mensen over de hele wereld mogelijk maken. Maar er komt veel meer bij kijken dan alleen waar mensen zitten.
In DevOps zijn innovatie en het oplossen van bugs een continue, 24/7 operatie die is gebouwd op continue integratie en continue levering (CI/CD)-systemen. Moderne CI/CD stelt ontwikkelaars in staat zich te concentreren op het bouwen en stelt de kleinste teams in staat om marktbepalende producten te bouwen. Alledaagse en complexe taken zijn volledig geautomatiseerd in CI/CD, en ontwikkelaars zijn verplicht om proactieve tests uit te voeren voor alle functies die ze uitrollen. Dit vermindert fouten en bugs in de systemen aanzienlijk, waardoor ontwikkelaars zich kunnen concentreren op wat het belangrijkst is.
Het traditionele werk van a SOC zet een toegewijd team van mensen op tegen duizenden waarschuwingen. Maar vooraanstaande technologiebedrijven hebben een nieuw model aangenomen: vertrouwde, goed gedocumenteerde, hifi-waarschuwingen krijgen aandacht, maar de meeste waarschuwingen kunnen worden genegeerd vanwege automatisering. De meest geavanceerde cyberbeveiligingsplatforms sturen automatisch routinewaarschuwingen naar de infrastructuur- of applicatie-eigenaar die verantwoordelijk is voor dat specifieke gebied – of het nu een firewall, een eindgebruiker, een applicatie of een server is – samen met een reeks aanbevolen reacties. Zoals Alex Maestretti (huidig CISO bij Remily, voormalig Engineering Manager bij Netflix, waar het SecOps-team SOCminder) zet het, dit is wat bedoeld wordt met SOCminder – decentralisatie van alarmtriage naar systeemexperts. De oplossing om vermoeidheid te signaleren is niet meer mensen of meer data, het zijn robuuste autonome systemen met gedecentraliseerde processen.
Migreren naar SOCMinder
Om dit te maken OB's modelwerk, heeft de beveiligingsafdeling mensen nodig die voortdurend bijdragen aan zinvolle beleidswijzigingen, detectiestrategieën en draaiboeken, en niet staren naar monitors die op zoek zijn naar waarschuwingen. Het vergt werk en toewijding om in die staat te komen, maar als analisten altijd alerts in de gaten houden, zullen ze het probleem nooit voor zijn. Om proactiviteit mogelijk te maken, hebben beveiligingsteams de CI / CD equivalent voor beveiligingsinfrastructuur.
De eerste vereiste is om kerncontroles voor risicobeheer te hebben met best practices op het gebied van hygiëne die eenvoudig kunnen worden toegepast. Een goed voorbeeld hiervan is de gedegen implementatie van Zero Trust; dit verbetert niet alleen uw beveiligingshouding, maar vermindert ook waarschuwingen en ruis, waardoor het gegevensprobleem wordt vereenvoudigd. De tweede vereiste is een cyberbeveiliging detectie- en responsplatform waar strategieën en draaiboeken snel kunnen worden ingezet. Snelle implementatie en configuratie zijn van het grootste belang - de tijd van detectie en reactie-idee tot productie-implementatie moet zo dicht mogelijk bij nul zijn. Elk detectie- en responsplatform dat dit ondersteunt, is gebruiksvriendelijk en heeft veel kant-en-klare inhoud, inclusief op AI en machine learning gebaseerde detecties, omdat regels het niet redden.
Going SOCminder vereist echter meer dan technologie. Er is een toegewijd team voor nodig en processen opnieuw ontworpen - vertrouwd raken met aanzienlijke automatisering, infrastructuureigenaren rechtstreeks relevante waarschuwingen laten ontvangen en de meeste tijd besteden aan proactief beveiligingswerk. Er zullen echter altijd mensen nodig zijn, en voor veel ondernemingen is het uitbreiden van intern personeel met een Managed Security Service Provider een kosteneffectieve manier om proactief te blijven. Een onderneming heeft wel mensen nodig om ervoor te zorgen dat continu de juiste strategieën worden ingezet, en MSSP met een gezamenlijk beheerde implementatie van een detectie- en responsplatform kunnen ondernemingen de ondersteuning indien nodig opschalen. Net zoals ondernemingen zich tot de cloud hebben gewend voor as-a-Service-aanbiedingen, kunnen ze zich wenden tot: MSSP's besteld, SOC-als-a-Service aanbod. Dit zal velen helpen bij het voltooien van de interne SOCminder overgang.
Dus door goed te kijken naar gedistribueerde DevOps-functies en die toe te wijzen aan gedistribueerde beveiligingsactiviteiten (SecOps), kunnen bedrijven beginnen de hackers voor te blijven als het gaat om het opsporen en herstellen van complexe aanvallen. Er is een echte verandering in perceptie nodig om het voor elkaar te krijgen, maar veel van de grootste en meest geavanceerde bedrijven ter wereld zijn al vertrokken SOCminder. Misschien wordt het tijd dat elk ander bedrijf dat ook doet.
