Ayon sa FBI, ang bilang ng cyberattacks iniulat sa kanilang Cyber Division ay tumaas ng 400 porsyento kumpara sa mga antas bago ang pandemya, at lumalala ang mga pag-atake. Mula sa mga pinansyal na site hanggang sa mga site ng pangangalagang pangkalusugan hanggang sa mga site ng gobyerno hanggang sa mga industriya ng supply chain, walang ligtas mula sa mga pag-atakeng ito. Ang tradisyonal na depensa laban sa mga banta na ito ay ang Sentro ng Operasyon sa Seguridad (SOC) – isang silid na puno ng mga analyst na nanonood ng mga alerto sa seguridad sa mga screen ng TV – ngunit ang pagtatanggol na ito ay hindi gumagana nang maayos – tanungin lamang ang cybersecurity mga koponan sa Continental Pipeline, Target, TransUnion o alinman sa daan-daang iba pang kumpanya na nakaranas ng makabuluhang pag-atake.
Paano a SOC Gumagana, at Hindi Gumagana
Ang operating theory sa likod ng a SOC ay iyon kung mangolekta ka ng sapat na data sa buong enterprise sa pamamagitan ng iba't ibang IT at mga tool sa seguridad, pagkatapos ay gumamit ng mga platform ng pagsusuri upang i-rank at mailarawan ang mga alerto mula sa iba't ibang mga tool, pagkatapos ay sa wakas ay mag-deploy ng isang tiered na pangkat ng analyst upang pamahalaan at tumugon sa mga alerto, pagkatapos ay tiyak, karamihan o lahat ng cyberattacks ay mabilis na makikita at mahawakan bago sila magdulot ng tunay na pinsala. Iba ang sinasabi ng karanasan sa totoong mundo.
Mayroong maraming mga kadahilanan kung bakit ang SOC modelo ay sira. Una sa lahat, ang lahat ng mga tool sa seguridad na iyon ay naglalabas ng MARAMING alerto – libu-libo sa mga ito, marami sa mga ito ay benign. Halimbawa, maaaring mag-trigger ng alerto ang isang user na karaniwang nasa opisina na nagla-log in mula sa malayong lokasyon, o maaaring mag-trigger ng alerto ang user na nagla-log in sa labas ng mga oras ng negosyo. Dapat harapin ng mga security analyst ang daan-daan o libu-libo nitong mga "false positive" na alerto bawat araw.
Isa pang dahilan kung bakit SOCs nabigo ay ang bawat isa sa mga discrete cybersecurity tool na ginagamit ay may sariling format ng data at madalas, sarili nitong console, at sa huli ay naglalarawan lamang ng isang aspeto ng postura ng seguridad ng organisasyon. Sa mundo ngayon, maraming kumplikadong cyberattack ang nagaganap sa pamamagitan ng dalawa o higit pang mga vectors – hindi lang isang tao ang bumangga laban sa isang firewall, ito ay maaaring isang phishing attack sa pamamagitan ng e-mail, o isang virus na na-download sa panahon ng regular na pag-update ng programa (tulad ng Pag-atake ng SolarWindsAng problema ay sa isang SOC, walang sinuman ang natural na nakakakita ng buong larawan – ang larawang iyon ay dapat na manu-manong iugnay sa libu-libong alerto ng mga pangkat ng mga analyst. Dahil manu-mano ang prosesong ito, hindi nito pinapayagan ang mahusay na automation, ni hindi nito pinapayagan ang bawat alerto na makakuha ng atensyon.
Kaya, napakaraming alerto, napakaraming tool, at hindi sapat na awtomatikong ugnayan ng data sa mga tool. Ngunit mayroon ding isa pang problema: hindi sapat ang mga analyst. Isang pandaigdigang pag-aaral ng mga propesyonal sa cybersecurity ni Information Systems Security Association (ISSA) at kompanya ng analyst ng industriya Enterprise Strategy Group (ESG) ay nag-uulat na ang kakulangan sa pamumuhunan sa mga tool sa cybersecurity, kasama ang hamon ng mga karagdagang workload para sa mga analyst, ay nagdudulot ng kakulangan sa mga kasanayan na humahantong sa mga hindi napunong trabaho at mataas na pagka-burnout sa mga kawani ng seguridad ng impormasyon. At iyon din ang nagpapalaki sa mga gastos ng analyst: ang isang top-tier na cybersecurity analyst ay maaaring kumita ng $200,000 bawat taon.
Siyempre, lahat ng ito ay nangyayari sa isang mundo kung saan ang mga cyberattack ay lumalaki nang mas sopistikado at dumarami sa bawat buwan.
SOCmas kaunti – Isa Pang Paraan
Ngunit paano kung inabandona ng mga kumpanya ang SOC idea? Paano kung ipinamahagi nila ang kanilang mga cyber-defense sa heograpiya at sa isang pangkat ng mga dalubhasa sa imprastraktura? Paano kung na-automate ng isang platform ang makamundong gawain ng pagtugon sa mga alertong mababa ang priyoridad at ang kumplikadong gawain ng pag-uugnay sa lahat ng IT at mga tool sa seguridad? Paano kung ginugol ng mga analyst ang kanilang oras sa proactive na paghahanap ng mga banta at pagpapatupad ng mga patakaran sa pinakamahusay na kasanayan? Paano kung ang alertong pagkapagod ay hindi umiiral? posible ba ito?
Ito ay. Maaari tayong tumingin sa mga software development team para sa isang halimbawa kung paano ito maaaring gumana. Sa DevOps, isang modernong diskarte sa pagbuo ng software, ang pinakamahusay na mga kumpanya ng software sa mundo ay hindi nakahanay sa kanilang mga developer sa mga hilera sa isang silid – mayroon silang mga system na nagbibigay-daan sa mga asynchronous na pakikipagtulungan mula sa mga distributed na tao sa buong mundo. Ngunit may higit pa rito kaysa sa kung saan nakaupo ang mga tao.
Sa DevOps, ang pagbabago at pag-aayos ng bug ay isang patuloy, 24/7 na operasyon na binuo sa ibabaw ng tuluy-tuloy na pagsasama at tuluy-tuloy na paghahatid (CI/CD) system. Binibigyang-daan ng modernong CI/CD ang mga developer na tumuon sa pagbuo at binibigyang-daan ang pinakamaliit sa mga team na bumuo ng mga produkto na tumutukoy sa merkado. Ang mga makamundong at kumplikadong gawain ay ganap na awtomatiko sa CI/CD, at ang mga developer ay kinakailangang maglagay ng proactive na pagsubok para sa lahat ng mga feature na kanilang inilalabas. Ito ay makabuluhang binabawasan ang mga error at bug sa mga system na nagbibigay-daan sa mga developer na tumuon sa kung ano ang pinakamahalaga.
Ang tradisyunal na gawain ng a SOC ay pinaghahalo ang isang nakatuong pangkat ng mga tao laban sa libu-libong mga alerto. Ngunit ang mga nangungunang kumpanya ng teknolohiya ay nagpatibay ng isang bagong modelo: ang mga mapagkakatiwalaang, well-documented, high-fidelity na mga alerto ay nakakakuha ng atensyon, ngunit karamihan sa mga alerto ay maaaring balewalain dahil sa automation. Ang pinaka-advanced na mga platform ng cybersecurity ay awtomatikong nagpapadala ng mga nakagawiang alerto sa imprastraktura o may-ari ng application na responsable para sa partikular na lugar na iyon – ito man ay isang firewall, isang end user, isang application o isang server – kasama ang isang hanay ng mga inirerekomendang tugon. Bilang Alex Maestretti (kasalukuyang CISO sa Remily, dating Engineering Manager sa Netflix, kung saan ang SecOps team ay SOCmas kaunti) ilagay mo, ito ang ibig sabihin ng SOCkulang – pagdesentralisa ng alertong triage sa mga dalubhasa sa system. Ang solusyon sa pag-alerto sa pagkahapo ay hindi mas maraming tao o higit pang data, ito ay matatag na autonomous system na may mga desentralisadong proseso.
Paglipat sa SOCkulang
Upang gawin ito SecOps modelo ng trabaho, ang departamento ng seguridad ay nangangailangan ng mga tao na patuloy na nag-aambag ng makabuluhang mga pagbabago sa patakaran, mga diskarte sa pag-detect at mga playbook, hindi tumitingin sa mga monitor na naghahanap ng mga alerto. Kailangan ng trabaho at pangako para makarating sa estadong iyon, ngunit kung palaging sinusubaybayan ng mga analyst ang mga alerto, hinding-hindi nila mauuna ang problema. Para paganahin ang pagiging maagap, kailangan ng mga security team ang CI / CD katumbas ng imprastraktura ng seguridad.
Ang unang kinakailangan ay magkaroon ng mga pangunahing kontrol sa pamamahala ng peligro na may pinakamahuhusay na kagawian sa kalinisan na madaling mailapat. Isang pangunahing halimbawa nito ay ang masusing pagpapatupad ng Zero Trust; hindi lamang nito pinapabuti ang iyong postura sa seguridad ngunit binabawasan din ang mga alerto at ingay, sa gayon ay pinapasimple ang problema sa data. Ang pangalawang kinakailangan ay isang cybersecurity platform ng pagtuklas at pagtugon kung saan ang mga diskarte at playbook ay maaaring mabilis na mai-deploy. Ang mabilis na pag-deploy at pagsasaayos ay pinakamahalaga - ang oras mula sa pagtuklas at pagtugon sa ideya hanggang sa pag-deploy ng produksyon ay dapat na malapit sa zero hangga't maaari. Ang anumang platform ng pag-detect at pagtugon na sumusuporta dito ay magiging madaling gamitin at magkakaroon ng makabuluhang out-of-the-box na content, kabilang ang AI- at machine learning-based na mga detection, dahil hindi ito pinuputol ng mga panuntunan.
Nagpapatuloy SOCkulang nangangailangan ng higit pa sa teknolohiya, gayunpaman. Nangangailangan ito ng isang nakatuong koponan at muling naisip na mga proseso – nagiging komportable sa makabuluhang automation, pagkakaroon ng mga may-ari ng imprastraktura na direktang makatanggap ng mga kaugnay na alerto, at naglalaan ng karamihan ng oras sa proactive na gawaing panseguridad. Palaging may pangangailangan para sa mga tao, gayunpaman, at para sa maraming mga negosyo ang pagdaragdag ng mga panloob na tauhan sa isang Managed Security Service Provider ay isang cost-effective na paraan upang manatiling aktibo. Ang isang negosyo ay nangangailangan ng mga tao upang matiyak na ang mga tamang diskarte ay patuloy na ipinapatupad, at isang MSSP na may co-managed na pag-deploy ng isang platform ng pagtuklas at pagtugon ay nagbibigay-daan sa mga negosyo na palakihin ang suporta kung kinakailangan. Tulad ng mga negosyo ay bumaling sa cloud para sa bilang-a-Serbisyo na mga handog, maaari silang pumunta sa Ang mga MSSP para SOC-bilang-isang-Serbisyo mga handog. Makakatulong ito sa marami sa pagkumpleto ng panloob SOCkulang paglipat.
Kaya, sa pamamagitan ng pagtinging mabuti sa mga distributed DevOps function at pagmamapa niyan sa mga distributed security operations (SecOps), maaaring magsimulang mauna ang mga kumpanya sa mga hacker sa mga tuntunin ng pagtukoy at pag-remediate ng mga kumplikadong pag-atake. Nangangailangan ng tunay na pagbabago sa pang-unawa upang maalis ito, ngunit marami sa pinakamalaki at pinaka-advanced na kumpanya sa planeta ang nawala na SOCkulang. Siguro oras na rin para gawin ng ibang kumpanya.
