Według FBI liczba cyberataki zgłoszony do ich Cyber Division wzrósł o 400 procent w porównaniu do poziomy sprzed pandemii, a ataki stają się coraz gorsze. Nikt nie jest bezpieczny przed tymi atakami, od witryn finansowych po witryny opieki zdrowotnej, witryny rządowe i branże łańcucha dostaw. Tradycyjną obroną przed tymi zagrożeniami jest Centrum Operacji Bezpieczeństwa (SOC) – pokój pełen analityków wyczekujących alertów bezpieczeństwa na ekranach telewizorów – ale ta obrona nie działa zbyt dobrze – wystarczy zapytać bezpieczeństwo cybernetyczne zespoły w Continental Pipeline, Target, TransUnion lub dowolnej z setek innych firm, które doświadczyły znaczących ataków.
Jak SOC Działa i nie działa
Teoria operacyjna stojąca za SOC jest to, że jeśli zbierzesz wystarczającą ilość danych w całym przedsiębiorstwie za pomocą różnych Narzędzia IT i bezpieczeństwa, następnie użyj platform analitycznych, aby uszeregować i zwizualizować alerty z różnych narzędzi, a następnie wdrożyć wielopoziomowy zespół analityczny do zarządzania alertami i reagowania na nie. Wtedy z pewnością większość lub wszystkie cyberataki zostaną szybko wykryte i obsłużone, zanim spowodują rzeczywiste szkody. Doświadczenie w świecie rzeczywistym mówi nam inaczej.
Istnieje kilka powodów, dla których SOC model Jest zepsuty. Po pierwsze, wszystkie te narzędzia bezpieczeństwa generują WIELE alertów – tysiące z nich, z których wiele jest łagodnych. Na przykład użytkownik, który zazwyczaj znajduje się w biurze, logując się ze zdalnej lokalizacji, może wyzwolić alert lub użytkownik logujący się poza godzinami pracy może wywołać alert. Analitycy bezpieczeństwa muszą każdego dnia radzić sobie z setkami lub tysiącami takich „fałszywie pozytywnych” alertów.
Kolejny powód dlaczego SOCs Porażką jest to, że każde z używanych dyskretnych narzędzi cyberbezpieczeństwa ma swój własny format danych i często własną konsolę, a ostatecznie przedstawia tylko jeden aspekt stanu bezpieczeństwa organizacji. W dzisiejszym świecie wiele złożonych cyberataków odbywa się za pośrednictwem dwóch lub więcej wektorów — nie chodzi tylko o to, że ktoś uderza w zaporę sieciową, może to być atak phishingowy za pośrednictwem poczty e-mail lub wirus pobrany podczas rutynowej aktualizacji programu (jak w przypadku Atak SolarWinds). Problem polega na tym, że w SOCNikt z natury nie widzi pełnego obrazu – ten obraz musi być ręcznie korelowany z tysiącami alertów przez zespoły analityków. Ponieważ proces ten jest ręczny, nie pozwala na solidną automatyzację ani nie pozwala na zwrócenie uwagi na każdy alert.
Jest więc za dużo alertów, za dużo narzędzi i za mało automatycznej korelacji danych między narzędziami. Ale jest też inny problem: za mało analityków. Globalne badanie specjalistów ds. cyberbezpieczeństwa przeprowadzone przez Stowarzyszenie Bezpieczeństwa Systemów Informatycznych (ISSA) i firma analityczna branżowa Grupa ds. Strategii Przedsiębiorstw (ESG) donosi, że niedoinwestowanie narzędzi cyberbezpieczeństwa, w połączeniu z wyzwaniem związanym z dodatkowymi obciążeniami dla analityków, powoduje niedobór umiejętności, co prowadzi do nieobsadzonych miejsc pracy i wysokiego wypalenia wśród pracowników zajmujących się bezpieczeństwem informacji. A to również zwiększa koszty analityków: najwyższej klasy analityk ds. cyberbezpieczeństwa może zarobić 200,000 XNUMX USD rocznie.
Oczywiście wszystko to dzieje się w świecie, w którym cyberataki z miesiąca na miesiąc stają się coraz bardziej wyrafinowane i liczniejsze.
SOCmniej – Inna droga
Ale co, jeśli firmy porzuciły? SOC pomysł? A jeśli rozprowadzą swoje cyberobrony geograficznie i do zespołu ekspertów ds. infrastruktury? Co by się stało, gdyby platforma zautomatyzowała żmudną pracę polegającą na reagowaniu na alerty o niskim priorytecie i złożoną pracę polegającą na korelowaniu wszystkich narzędzi informatycznych i zabezpieczających? Co by się stało, gdyby analitycy spędzili swój czas proaktywnie szukając zagrożeń i wdrażając zasady najlepszych praktyk? Co by było, gdyby zmęczenie czujności nie istniało? czy to możliwe?
To jest. Możemy spojrzeć w zespołach programistycznych na przykład, jak to może działać. W DevOps, nowoczesnym podejściu do tworzenia oprogramowania, najlepsze firmy programistyczne na świecie nie ustawiają swoich programistów w rzędach w jednym pomieszczeniu – mają systemy, które umożliwiają asynchroniczną współpracę od rozproszonych ludzi z całego świata. Ale jest w tym znacznie więcej niż tylko miejsce, w którym siedzą ludzie.
W DevOps innowacje i naprawianie błędów to ciągła, całodobowa operacja oparta na systemach ciągłej integracji i ciągłego dostarczania (CI/CD). Nowoczesne CI/CD pozwala programistom skupić się na budowaniu i umożliwia najmniejszym zespołom tworzenie produktów definiujących rynek. Przyziemne i złożone zadania są w pełni zautomatyzowane w CI/CD, a programiści są zobowiązani do wprowadzenia proaktywnego testowania dla wszystkich wprowadzanych funkcji. To znacznie zmniejsza błędy i błędy w systemach, co pozwala programistom skupić się na tym, co najważniejsze.
Tradycyjna praca SOC stawia oddany zespół ludzi przeciwko tysiącom alertów. Jednak czołowe firmy technologiczne przyjęły nowy model: zaufane, dobrze udokumentowane alerty o wysokiej wierności przyciągają uwagę, ale większość alertów można zignorować ze względu na automatyzację. Najbardziej zaawansowane platformy cyberbezpieczeństwa automatycznie wysyłają rutynowe alerty do infrastruktury lub właściciela aplikacji odpowiedzialnego za dany obszar — niezależnie od tego, czy jest to zapora sieciowa, użytkownik końcowy, aplikacja czy serwer — wraz z zestawem zalecanych odpowiedzi. Jak Alexa Maestrettiego (obecny CISO w Remily, były kierownik ds. inżynierii w firmie Netflix, gdzie pracuje zespół SecOps) SOCmniej) połóż to, to właśnie oznacza SOCmniej – decentralizacja selekcji alertów dla ekspertów systemowych. Rozwiązaniem ostrzegania o zmęczeniu nie jest więcej ludzi ani więcej danych, to solidne systemy autonomiczne ze zdecentralizowanymi procesami.
Migracja do SOCMniej
Aby to zrobić SecOps W pracy modelowej dział bezpieczeństwa potrzebuje ludzi stale wnoszących znaczące zmiany polityk, strategii wykrywania i podręczników, a nie gapiących się na monitory szukające alertów. Dojście do tego stanu wymaga pracy i zaangażowania, ale jeśli analitycy zawsze monitorują alerty, nigdy nie wyprzedzą problemu. Aby umożliwić proaktywność, zespoły ds. bezpieczeństwa potrzebują: CI / CD odpowiednik dla infrastruktury bezpieczeństwa.
Pierwszym wymogiem jest posiadanie podstawowych kontroli zarządzania ryzykiem z łatwym stosowaniem najlepszych praktyk higienicznych. Doskonałym tego przykładem jest gruntowne wdrożenie Zero Trust; to nie tylko poprawia stan bezpieczeństwa, ale także zmniejsza alerty i hałas, upraszczając w ten sposób problem z danymi. Drugim wymogiem jest cyberbezpieczeństwo platforma wykrywania i reagowania gdzie strategie i podręczniki mogą być szybko wdrażane. Najważniejsze jest szybkie wdrożenie i konfiguracja — czas od wykrycia i odpowiedzi do wdrożenia produkcyjnego powinien być jak najbliżej zera. Każda platforma wykrywania i reagowania, która to obsługuje, będzie łatwa w użyciu i będzie miała znaczną zawartość gotową do użycia, w tym wykrywanie oparte na sztucznej inteligencji i uczeniu maszynowym, ponieważ reguły tego nie ograniczają.
Chodzenie SOCmniej wymaga jednak czegoś więcej niż technologii. Wymaga to zaangażowanego zespołu i przeprojektowania procesów — zaznajomienie się ze znaczną automatyzacją, umożliwienie właścicielom infrastruktury bezpośredniego otrzymywania odpowiednich alertów i poświęcenie większości czasu na proaktywną pracę w zakresie bezpieczeństwa. Zawsze jednak będą potrzebni ludzie, a dla wielu przedsiębiorstw powiększanie personelu wewnętrznego za pomocą dostawcy usług zarządzania bezpieczeństwem jest opłacalnym sposobem na zachowanie proaktywności. Przedsiębiorstwo potrzebuje ludzi, aby zapewnić ciągłe wdrażanie właściwych strategii i MSSPs dzięki współzarządzanemu wdrożeniu platformy wykrywania i reagowania umożliwia przedsiębiorstwom zwiększanie wsparcia zgodnie z potrzebami. Podobnie jak przedsiębiorstwa zwróciły się do chmury w celu uzyskania ofert jako usługi, mogą zwrócić się do MSSP dla SOC-Jako usługa oferty. Pomoże to wielu w ukończeniu wewnętrznego SOCmniej przejście.
Tak więc, dobrze przyglądając się rozproszonym funkcjom DevOps i mapując je do rozproszonych operacji bezpieczeństwa (SecOps), firmy mogą zacząć wyprzedzać hakerów w wykrywaniu i naprawianiu złożonych ataków. Aby to osiągnąć, potrzeba prawdziwej zmiany w postrzeganiu, ale wiele największych i najbardziej zaawansowanych firm na świecie już odeszło SOCmniej. Może nadszedł czas, aby zrobiła to każda inna firma.
