จากข้อมูลของ FBI จำนวน cyberattacks รายงานไปยังแผนกไซเบอร์ของพวกเขาเพิ่มขึ้น 400% เมื่อเทียบกับ ระดับก่อนเกิดโรคระบาดและการโจมตีเริ่มแย่ลง ตั้งแต่ไซต์การเงิน ไซต์ด้านการดูแลสุขภาพ ไซต์ของรัฐบาล ไปจนถึงอุตสาหกรรมซัพพลายเชน ไม่มีใครปลอดภัยจากการโจมตีเหล่านี้ การป้องกันแบบดั้งเดิมต่อภัยคุกคามเหล่านี้คือ ศูนย์ปฏิบัติการความปลอดภัย (SOC) – ห้องที่เต็มไปด้วยนักวิเคราะห์คอยดูการแจ้งเตือนความปลอดภัยบนหน้าจอทีวี – แต่การป้องกันนี้ไม่ได้ผลดีนัก – เพียงแค่ถาม โลกไซเบอร์ ทีมที่ Continental Pipeline, Target, TransUnion หรือบริษัทอื่นๆ หลายร้อยแห่งที่เคยถูกโจมตีที่สำคัญ
SOC ทำงานอย่างไรและไม่ทำงาน
ทฤษฎีปฏิบัติการเบื้องหลังa SOC คือถ้าคุณเก็บรวบรวมข้อมูลทั่วทั้งองค์กรได้เพียงพอผ่านช่องทางต่างๆ เครื่องมือไอทีและความปลอดภัยจากนั้นใช้แพลตฟอร์มการวิเคราะห์เพื่อจัดอันดับและแสดงภาพการแจ้งเตือนจากเครื่องมือต่างๆ จากนั้นจึงปรับใช้ทีมวิเคราะห์ระดับชั้นเพื่อจัดการและตอบสนองต่อการแจ้งเตือน แน่นอนว่าการโจมตีทางไซเบอร์ส่วนใหญ่หรือทั้งหมดจะถูกตรวจพบอย่างรวดเร็วและจัดการก่อนที่จะสร้างความเสียหายจริง ประสบการณ์ในโลกแห่งความเป็นจริงบอกเราเป็นอย่างอื่น
มีสาเหตุหลายประการที่ทำให้ไฟล์ แบบจำลอง SOC เสีย อย่างแรกเลย เครื่องมือรักษาความปลอดภัยทั้งหมดเหล่านั้นออกการแจ้งเตือนจำนวนมาก – หลายพันรายการ ซึ่งส่วนใหญ่ไม่เป็นอันตราย ตัวอย่างเช่น ผู้ใช้ที่มักจะอยู่ในสำนักงานเข้าสู่ระบบจากสถานที่ห่างไกลสามารถเรียกการแจ้งเตือน หรือผู้ใช้ที่เข้าสู่ระบบนอกเวลาทำการอาจทำให้เกิดการแจ้งเตือน นักวิเคราะห์ด้านความปลอดภัยต้องจัดการกับการแจ้งเตือน “ผลบวกที่ผิดพลาด” เหล่านี้นับร้อยหรือหลายพันในแต่ละวัน
อีกเหตุผลว่าทำไม SOC ความล้มเหลวคือเครื่องมือรักษาความปลอดภัยทางไซเบอร์แบบแยกส่วนที่ใช้อยู่มีรูปแบบข้อมูลของตัวเองและมักมีคอนโซลของตัวเอง และท้ายที่สุดก็แสดงให้เห็นเพียงแง่มุมเดียวของจุดยืนด้านความปลอดภัยขององค์กร ในโลกปัจจุบัน การโจมตีทางไซเบอร์ที่ซับซ้อนจำนวนมากเกิดขึ้นผ่านเวกเตอร์สองตัวหรือมากกว่า – ไม่ใช่แค่คนที่ต่อสู้กับไฟร์วอลล์เท่านั้น แต่อาจเป็นการโจมตีแบบฟิชชิงผ่านอีเมล หรือไวรัสที่ดาวน์โหลดระหว่างการอัปเดตโปรแกรมตามปกติ (เช่นเดียวกับ การโจมตี SolarWinds). ปัญหาคือใน SOC จะไม่มีใครเห็นภาพรวมทั้งหมดโดยกำเนิด - รูปภาพนั้นต้องสัมพันธ์กันด้วยตนเองในการแจ้งเตือนหลายพันครั้งโดยทีมนักวิเคราะห์ เนื่องจากกระบวนการนี้เป็นแบบแมนนวล จึงไม่อนุญาตให้มีการทำงานอัตโนมัติที่มีประสิทธิภาพ และไม่อนุญาตให้ทุกการแจ้งเตือนได้รับความสนใจ
ดังนั้นจึงมีการแจ้งเตือนมากเกินไป มีเครื่องมือมากเกินไป และมีความสัมพันธ์ของข้อมูลอัตโนมัติไม่เพียงพอระหว่างเครื่องมือ แต่ยังมีอีกปัญหาหนึ่งคือ มีนักวิเคราะห์ไม่เพียงพอ การศึกษาระดับโลกของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์โดย สมาคมรักษาความปลอดภัยระบบสารสนเทศ (ISSA) และบริษัทวิเคราะห์อุตสาหกรรม กลุ่มกลยุทธ์องค์กร (ESG) รายงานว่าการลงทุนต่ำในเครื่องมือความปลอดภัยทางไซเบอร์ รวมกับความท้าทายของปริมาณงานเพิ่มเติมสำหรับนักวิเคราะห์ ทำให้เกิดการขาดแคลนทักษะที่นำไปสู่งานที่ไม่ได้รับงานและความเหนื่อยหน่ายสูงในหมู่เจ้าหน้าที่รักษาความปลอดภัยข้อมูล และนั่นก็ทำให้ต้นทุนของนักวิเคราะห์สูงขึ้นเช่นกัน: นักวิเคราะห์ความปลอดภัยทางไซเบอร์ระดับแนวหน้าสามารถสร้างรายได้ $200,000 ต่อปี
แน่นอนว่า ทั้งหมดนี้กำลังเกิดขึ้นในโลกที่การโจมตีทางไซเบอร์มีความซับซ้อนและทวีความรุนแรงขึ้นเรื่อยๆ ในแต่ละเดือน
SOCless – อีกวิธีหนึ่ง
แต่ถ้าบริษัทละทิ้ง SOC ความคิด? จะเกิดอะไรขึ้นหากพวกเขาแจกจ่ายการป้องกันทางไซเบอร์ในเชิงภูมิศาสตร์และให้กับทีมผู้เชี่ยวชาญด้านโครงสร้างพื้นฐาน จะเกิดอะไรขึ้นหากแพลตฟอร์มทำงานอัตโนมัติในการตอบสนองต่อการแจ้งเตือนที่มีลำดับความสำคัญต่ำและงานที่ซับซ้อนซึ่งสัมพันธ์กันในเครื่องมือไอทีและความปลอดภัยทั้งหมด จะเกิดอะไรขึ้นหากนักวิเคราะห์ใช้เวลาในการค้นหาภัยคุกคามและดำเนินนโยบายแนวปฏิบัติที่ดีที่สุด? จะเกิดอะไรขึ้นหากไม่มีความเหนื่อยล้าที่ตื่นตัว เป็นไปได้ไหม
มันคือ. เราสามารถดูทีมพัฒนาซอฟต์แวร์เพื่อดูตัวอย่างว่ามันทำงานอย่างไร ใน DevOps ซึ่งเป็นแนวทางที่ทันสมัยในการพัฒนาซอฟต์แวร์ บริษัทซอฟต์แวร์ที่ดีที่สุดในโลกไม่ได้จัดเรียงนักพัฒนาเป็นแถวในห้องเดียว – พวกเขามีระบบที่อนุญาตให้มีการทำงานร่วมกันแบบอะซิงโครนัสจากผู้คนที่กระจายอยู่ทั่วโลก แต่มีอะไรมากกว่าที่คนนั่ง
ใน DevOps นวัตกรรมและการแก้ไขข้อผิดพลาดเป็นการดำเนินการอย่างต่อเนื่องตลอด 24 ชั่วโมงทุกวันไม่เว้นวันหยุด ซึ่งสร้างขึ้นจากระบบการผสานรวมอย่างต่อเนื่องและการส่งมอบอย่างต่อเนื่อง (CI/CD) CI/CD สมัยใหม่ช่วยให้นักพัฒนามุ่งเน้นไปที่การสร้างและช่วยให้ทีมที่เล็กที่สุดสร้างผลิตภัณฑ์ที่กำหนดตลาดได้ งานทางโลกและงานที่ซับซ้อนเป็นไปโดยอัตโนมัติอย่างสมบูรณ์ใน CI/CD และนักพัฒนาจำเป็นต้องทำการทดสอบเชิงรุกสำหรับคุณลักษณะทั้งหมดที่เปิดตัว ซึ่งช่วยลดข้อผิดพลาดและจุดบกพร่องในระบบได้อย่างมาก ซึ่งช่วยให้นักพัฒนาสามารถโฟกัสกับสิ่งที่สำคัญที่สุดได้
งานประเพณีของ SOC กำลังเตรียมทีมมนุษย์โดยเฉพาะเพื่อต่อต้านการแจ้งเตือนนับพัน แต่บริษัทเทคโนโลยีชั้นนำได้นำรูปแบบใหม่มาใช้: การแจ้งเตือนที่เชื่อถือได้ มีเอกสารครบถ้วน และมีความแม่นยำสูงจะได้รับความสนใจ แต่การแจ้งเตือนส่วนใหญ่สามารถเพิกเฉยได้เนื่องจากระบบอัตโนมัติ แพลตฟอร์มความปลอดภัยทางไซเบอร์ที่ล้ำหน้าที่สุดจะส่งการแจ้งเตือนตามปกติไปยังโครงสร้างพื้นฐานหรือเจ้าของแอปพลิเคชันที่รับผิดชอบในพื้นที่นั้นๆ ไม่ว่าจะเป็นไฟร์วอลล์ ผู้ใช้ปลายทาง แอปพลิเคชัน หรือเซิร์ฟเวอร์ พร้อมชุดคำตอบที่แนะนำ เนื่องจาก อเล็กซ์ มาสเตรตติ (CISO ปัจจุบันที่ Remily อดีตผู้จัดการฝ่ายวิศวกรรมของ Netflix โดยที่ทีม SecOps ไม่มี SOCless) วางไว้นี่คือสิ่งที่หมายถึง ไร้สังคม – กระจายอำนาจการทดสอบการแจ้งเตือนไปยังผู้เชี่ยวชาญระบบ วิธีแก้ปัญหาเพื่อเตือนความเหนื่อยล้าไม่ใช่มนุษย์หรือข้อมูลมากขึ้น แต่เป็นระบบอัตโนมัติที่แข็งแกร่งพร้อมกระบวนการกระจายอำนาจ
การโยกย้ายไปยัง SOCLess
เพื่อทำสิ่งนี้ กลต แบบจำลองการทำงาน แผนกความปลอดภัยต้องการคนที่มีส่วนสนับสนุนการเปลี่ยนแปลงนโยบายที่มีความหมายอย่างต่อเนื่อง กลยุทธ์การตรวจจับและ playbooks โดยไม่จ้องมองที่จอภาพที่มองหาการแจ้งเตือน ต้องใช้เวลาทำงานและความมุ่งมั่นในการไปถึงสถานะนั้น แต่ถ้านักวิเคราะห์คอยติดตามการแจ้งเตือนอยู่เสมอ พวกเขาจะไม่มีทางนำหน้าปัญหาได้ ในการเปิดใช้งานเชิงรุก ทีมรักษาความปลอดภัยจำเป็นต้องมี CI / ซีดี เทียบเท่ากับโครงสร้างพื้นฐานด้านความปลอดภัย
ข้อกำหนดประการแรกคือต้องมีการควบคุมการจัดการความเสี่ยงหลักด้วยแนวทางปฏิบัติที่ดีที่สุดด้านสุขอนามัยที่นำไปใช้ได้ง่าย ตัวอย่างที่สำคัญอย่างหนึ่งของสิ่งนี้คือการนำ Zero Trust ไปใช้อย่างทั่วถึง สิ่งนี้ไม่เพียงแต่ปรับปรุงท่าทางการรักษาความปลอดภัยของคุณ แต่ยังช่วยลดการแจ้งเตือนและเสียงรบกวน ซึ่งจะทำให้ปัญหาข้อมูลง่ายขึ้น ข้อกำหนดที่สองคือความปลอดภัยทางไซเบอร์ แพลตฟอร์มการตรวจจับและตอบสนอง ที่ซึ่งกลยุทธ์และ playbook สามารถนำไปใช้ได้อย่างรวดเร็ว การปรับใช้และการกำหนดค่าอย่างรวดเร็วเป็นสิ่งสำคัญยิ่ง - เวลาตั้งแต่การตรวจจับและแนวคิดการตอบสนองไปจนถึงการใช้งานจริงควรใกล้เคียงกับศูนย์มากที่สุด แพลตฟอร์มการตรวจจับและตอบสนองใดๆ ที่รองรับสิ่งนี้จะใช้งานง่ายและมีเนื้อหาที่พร้อมใช้งานทันที ซึ่งรวมถึงการตรวจจับด้วย AI และการเรียนรู้ของเครื่อง เนื่องจากกฎไม่ได้ตัดทิ้งไป
ไป SOCless ใช้เวลามากกว่าเทคโนโลยีอย่างไรก็ตาม ต้องใช้ทีมที่มุ่งมั่นและกระบวนการคิดใหม่ - ทำความคุ้นเคยกับระบบอัตโนมัติที่สำคัญ ให้เจ้าของโครงสร้างพื้นฐานได้รับการแจ้งเตือนที่เกี่ยวข้องโดยตรง และอุทิศเวลาส่วนใหญ่ให้กับงานรักษาความปลอดภัยเชิงรุก อย่างไรก็ตาม จะมีความจำเป็นสำหรับบุคลากรอยู่เสมอ และสำหรับองค์กรจำนวนมากที่เพิ่มบุคลากรภายในด้วยผู้ให้บริการ Managed Security Service เป็นวิธีที่ประหยัดค่าใช้จ่ายเพื่อให้อยู่ในเชิงรุก องค์กรต้องการบุคลากรเพื่อให้แน่ใจว่ามีการใช้กลยุทธ์ที่ถูกต้องอย่างต่อเนื่องและ สพป ด้วยการปรับใช้ที่มีการจัดการร่วมกันของแพลตฟอร์มการตรวจจับและการตอบสนองช่วยให้องค์กรต่างๆ สามารถขยายการสนับสนุนได้ตามต้องการ เช่นเดียวกับองค์กรต่างๆ ที่หันมาใช้ระบบคลาวด์สำหรับข้อเสนอ as-a-Service พวกเขาสามารถเปลี่ยนเป็น MSSP for SOC เป็นบริการ ข้อเสนอ สิ่งนี้จะช่วยได้มากมายในการดำเนินการภายในให้เสร็จสิ้น ไร้สังคม การเปลี่ยนแปลง
ดังนั้น เมื่อพิจารณาถึงฟังก์ชัน DevOps แบบกระจายและการทำแผนที่กับการดำเนินการด้านความปลอดภัยแบบกระจาย (SecOps) บริษัทต่างๆ สามารถเริ่มนำหน้าแฮกเกอร์ในแง่ของการตรวจจับและแก้ไขการโจมตีที่ซับซ้อน ต้องใช้การเปลี่ยนแปลงอย่างแท้จริงในการรับรู้เพื่อดึงมันออกมา แต่บริษัทที่ใหญ่ที่สุดและก้าวหน้าที่สุดในโลกหลายแห่งได้หายไปแล้ว ไร้สังคม. อาจถึงเวลาที่ทุกบริษัทอื่นทำเช่นกัน
