За даними ФБР, кількість кібератаки повідомили їхньому кіберпідрозділу, зросли на 400 відсотків порівняно з рівні до пандемії, а атаки посилюються. Від фінансових сайтів до сайтів охорони здоров'я, урядових сайтів і галузей постачання – ніхто не застрахований від цих атак. Традиційним захистом від цих загроз є Центр операцій безпеки (SOC) – кімната, повна аналітиків, які спостерігають за сповіщеннями безпеки на екранах телевізорів – але цей захист працює не дуже добре – просто запитайте кібербезпека команди Continental Pipeline, Target, TransUnion або будь-яких сотень інших компаній, які зазнали значних атак.
Як a SOC Працює і не працює
Теорія операцій, що лежить в основі SOC полягає в тому, що якщо ви зберете достатньо даних по всьому підприємству через різні ІТ-інструменти та інструменти безпеки, потім використовувати аналітичні платформи для ранжування та візуалізації сповіщень з різних інструментів, і, нарешті, розгорнути багаторівневу команду аналітиків для управління сповіщеннями та реагування на них, тоді, безсумнівно, більшість або всі кібератак будуть швидко виявлені та усунені, перш ніж вони завдадуть реальної шкоди. Реальний досвід говорить нам про інше.
Існує кілька причин, чому SOC модель зламаний. По-перше, всі ці інструменти безпеки видають БАГАТО сповіщень – тисячі, багато з яких є нешкідливими. Наприклад, користувач, який зазвичай перебуває в офісі та входить у систему з віддаленого місця, може викликати сповіщення, або користувач, який входить у систему поза робочим часом, може викликати сповіщення. Аналітикам безпеки доводиться щодня мати справу з сотнями або тисячами таких «хибнопозитивних» сповіщень.
Ще одна причина SOCs Проблема полягає в тому, що кожен з окремих інструментів кібербезпеки, що використовуються, має власний формат даних і часто власну консоль, і зрештою відображає лише один аспект системи безпеки організації. У сучасному світі багато складних кібератак відбуваються через два або більше векторів – це не просто хтось б'ється об брандмауер, це може бути фішингова атака через електронну пошту або вірус, завантажений під час звичайного оновлення програми (як у випадку Атака SolarWinds). Проблема полягає в тому, що в SOCніхто не бачить повної картини – цю картину мають вручну зіставляти команди аналітиків з тисячами сповіщень. Оскільки цей процес є ручним, він не дозволяє надійної автоматизації, а також не дозволяє привертати увагу до кожного сповіщення.
Отже, існує забагато сповіщень, забагато інструментів і недостатньо автоматичної кореляції даних між інструментами. Але є ще одна проблема: недостатньо аналітиків. Глобальне дослідження фахівців з кібербезпеки, проведене Асоціація безпеки інформаційних систем (ISSA) та галузева аналітична фірма Enterprise Strategy Group (ESG) повідомляє, що недостатнє інвестування в інструменти кібербезпеки в поєднанні з проблемою додаткового робочого навантаження для аналітиків спричиняє дефіцит кваліфікованих кадрів, що призводить до незаповнених вакансій та високого рівня вигорання серед персоналу з інформаційної безпеки. А це також призводить до зростання витрат на аналітиків: аналітик кібербезпеки вищого рівня може заробляти 200,000 XNUMX доларів на рік.
Звичайно, все це відбувається у світі, де кібератаки з кожним місяцем стають дедалі складнішими та численнішими.
SOCменше – Інший шлях
Але що, якби компанії відмовилися від SOC Ідея? Що, якби вони розподілили свої засоби кіберзахисту географічно та між командою експертів з інфраструктури? Що, якби платформа автоматизувала рутинну роботу з реагування на низькопріоритетні сповіщення та складну роботу з кореляції між усіма ІТ-інструментами та інструментами безпеки? Що, якби аналітики витрачали свій час на проактивний пошук загроз та впровадження політик найкращих практик? Що, якби втоми від сповіщень не існувало? Чи це можливо?
Так. Ми можемо звернутися до команд розробників програмного забезпечення як приклад того, як це може працювати. У DevOps, сучасному підході до розробки програмного забезпечення, найкращі компанії-розробники програмного забезпечення у світі не шикують своїх розробників у ряди в одній кімнаті – у них є системи, які дозволяють асинхронну співпрацю розподілених людей по всьому світу. Але це набагато більше, ніж просто місце, де люди сидять.
У DevOps інновації та виправлення помилок – це безперервна цілодобова операція, побудована на системах безперервної інтеграції та безперервної доставки (CI/CD). Сучасна CI/CD дозволяє розробникам зосередитися на розробці та дає змогу найменшим командам створювати продукти, що визначають ринок. Буденні та складні завдання повністю автоматизовані в CI/CD, і розробники повинні проводити проактивне тестування для всіх функцій, які вони розгортають. Це значно зменшує кількість помилок і помилок у системах, що дозволяє розробникам зосередитися на тому, що найважливіше.
Традиційна робота SOC протиставляє спеціалізовану команду людей тисячам сповіщень. Але провідні технологічні компанії перейняли нову модель: надійні, добре задокументовані, високоточні сповіщення привертають увагу, але більшість сповіщень можна ігнорувати через автоматизацію. Найсучасніші платформи кібербезпеки автоматично надсилають регулярні сповіщення власнику інфраструктури або програми, відповідальному за цю конкретну область – будь то брандмауер, кінцевий користувач, програма чи сервер – разом із набором рекомендованих відповідей. Як Алекс Маестретті (нинішній CISO в Remily, колишній менеджер з інженерії в Netflix, де працює команда SecOps) SOCменше) поклади це, ось що мається на увазі під SOCменше – децентралізація сортування тривог системними експертами. Рішенням проблеми втоми від тривог є не більше людей чи більше даних, а надійні автономні системи з децентралізованими процесами.
Перехід до SOCменше
Щоб зробити це SecOps Для роботи з моделлю відділу безпеки потрібні люди, які постійно вносять змістовні зміни в політику, стратегії виявлення та посібники з дій, а не витріщаються на монітори в пошуках сповіщень. Щоб досягти цього стану, потрібна праця та відданість, але якщо аналітики постійно відстежують сповіщення, вони ніколи не випередять проблему. Щоб забезпечити проактивність, командам безпеки потрібні... CI/CD еквівалент для інфраструктури безпеки.
Перша вимога полягає в тому, щоб основні засоби управління ризиками з легкозастосовними передовими гігієнічними практиками були легко застосовані. Одним із яскравих прикладів цього є ретельне впровадження принципу «нульової довіри»; це не лише покращує ваш рівень безпеки, але й зменшує кількість сповіщень та шумів, тим самим спрощуючи проблему з даними. Друга вимога — це система кібербезпеки. платформа виявлення та реагування де стратегії та методичні посібники можна швидко розгортати. Швидке розгортання та налаштування мають першорядне значення – час від ідеї виявлення та реагування до розгортання в робочому середовищі має бути якомога ближчим до нуля. Будь-яка платформа виявлення та реагування, яка підтримує це, буде простою у використанні та матиме значний готовий контент, включаючи виявлення на основі штучного інтелекту та машинного навчання, оскільки правил недостатньо.
Що йде SOCменше Однак, це вимагає більше, ніж просто технології. Потрібна цілеспрямована команда та переосмислені процеси – звикання до значної автоматизації, забезпечення власниками інфраструктури отримання відповідних сповіщень безпосередньо та присвячення більшої частини часу проактивній роботі з безпеки. Однак завжди буде потреба в людях, і для багатьох підприємств збільшення внутрішнього персоналу за допомогою постачальника послуг керованої безпеки є економічно ефективним способом залишатися проактивним. Підприємству дійсно потрібні люди, щоб забезпечити постійне впровадження правильних стратегій, а також MSSP Завдяки спільно керованому розгортанню платформи виявлення та реагування підприємства можуть масштабувати підтримку за потреби. Подібно до того, як підприємства звернулися до хмари для пропозицій як послуги, вони можуть звернутися до MSSP та цінності SOC-як-послуга- пожертвування. Це допоможе багатьом завершити внутрішнє SOCменше перехід.
Отже, уважно вивчивши розподілені функції DevOps та зіставивши їх із розподіленими операціями безпеки (SecOps), компанії можуть почати випереджати хакерів у виявленні та усуненні складних атак. Для цього потрібна реальна зміна сприйняття, але багато найбільших і найрозвиненіших компаній на планеті вже перейшли на цей напрямок. SOCменшеМожливо, настав час, щоб усі інші компанії також це зробили.
