Je hebt misschien gehoord van het idee om naar links te verschuiven in beveiliging: naarmate ontwikkelaars meer naar de cloud gaan, kijken beveiligingsprofessionals meer stroomopwaarts - of links - naar waar de ontwikkelingsprocessen worden geïnitieerd. Naarmate u vordert van ontwikkeling naar Q / A en vervolgens naar productie (naar rechts), komt er meer onderliggend denken over end-to-end-beveiliging.
Laten we nog een stap verder gaan met dit idee en het hebben over iets nieuws: "veeg naar links" -beveiliging.
Op het hoogste niveau worstelt de beveiligingsindustrie om twee belangrijke problemen parallel op te lossen:
- het verzamelen van de juiste gegevens
- het snel evalueren
Het eerste probleem houdt verband met het groeiende thema rond "beveiligingsanalyses" - de broodkruimels die ons helpen te begrijpen of er daadwerkelijke beveiligingsincidenten zijn die onze tijd en aandacht nodig hebben. Het aanvalsoppervlak van elke onderneming is tegenwoordig groter dan ooit. Je moet naar het netwerkverkeer kijken op pakketniveau; je moet server-, applicatie- en gebruikerslogboeken bekijken; en je moet kijken naar opdrachten en processen die zijn gestart. Je moet ook alle omgevingen dekken: bare metal op locatie, gevirtualiseerd, containers en public cloud.
Het tweede probleem is dat, zelfs als je de juiste data of beveiligingsanalyses ziet, hoe beoordeel je dan snel de waarde van een waarschuwing? De meeste beveiligingsteams zullen je vertellen dat ze overweldigd worden door de hoeveelheid data, te veel valse positieven hebben en te veel waarschuwingen van laag niveau afhandelen. Met een traditionele aanpak is dat lastig. SIEMJe zou bijvoorbeeld 3,000 meldingen per dag kunnen ontvangen, en het beantwoorden daarvan wordt een schaalprobleem voor menselijk personeel.
Ik beschouw beveiligingsanalyses graag als het doorzoeken van een hooiberg vol naalden, en idealiter wil je steeds beter worden in het doorzoeken van die hooiberg. Elk product waarmee u uw beveiligingshouding elke dag kunt verstevigen, is iets dat u wilt. Deze mogelijkheid komt niet alleen voort uit machine learning of de hyped impact van "AI", het komt door alle waarschuwingen te bekijken en te vragen: "Zijn deze gerelateerd?"
Laten we een eenvoudig voorbeeld nemen, zeg dat Steve om 4 uur 's ochtends inlogt op een server (en ik heb op dat moment nog nooit eerder ingelogd), en mijn IP-adres komt uit Thailand, maar ik ben gevestigd in San Francisco, en de app die ik heb gelanceerd is dat niet een app die ik eerder heb gelanceerd. Deze individuele waarschuwingen kunnen worden gezien als ruis, maar als je ze samen bekijkt, zie je een patroon dat een sterk argument opbouwt dat er een doorbraak gaande is!
Dus hoe verzamelt u steeds meer gegevens zonder het toch al te hoge aantal beveiligingswaarschuwingen te vergroten? Om inzicht te krijgen in elke omgeving die ik hierboven heb genoemd, zou u de breedste engine voor het verzamelen van beveiligingsgegevens in de branche moeten combineren met geautomatiseerde technieken voor het verrijken van gegevensverzameling en het correleren van ogenschijnlijk lawaaierige waarschuwingen op laag niveau en om te laten zien dat ze in feite gerelateerd zijn.
Hoe help je beveiligingsanalisten door automatisering te schalen, zodat ze een simpele "rode" of "groene" markering krijgen en ze eenvoudig naar links vegen om een waarschuwing te weigeren, of naar rechts om deze te accepteren en dieper in het probleem te kijken? Idealiter zou een beveiligingsanalist niet 3,000 maar drie waarschuwingen per dag moeten onderzoeken, zodat het onderzoeken en activeren van geautomatiseerde reacties als beleid kan worden geprogrammeerd.
Dit soort denken is wat steeds meer mensen managed detectie- en responsservice noemen - MDR-as-a-Service. Gebruik automatisering om uw team te helpen opschalen en uw klanten toekomstgerichte waarde te bieden.
