Theo FBI, số lượng Tấn công mạng được báo cáo cho Bộ phận Mạng của họ là tăng 400 phần trăm so với mức độ trước đại dịchvà các cuộc tấn công ngày càng trở nên tồi tệ hơn. Từ các trang web tài chính đến các trang web chăm sóc sức khỏe, các trang web của chính phủ đến các ngành công nghiệp chuỗi cung ứng, không ai an toàn trước những cuộc tấn công này. Cách phòng thủ truyền thống chống lại những mối đe dọa này là Trung tâm điều hành an ninh (SOC) - một căn phòng đầy các nhà phân tích đang theo dõi các cảnh báo an ninh trên màn hình TV - nhưng biện pháp phòng thủ này không hoạt động tốt - chỉ cần hỏi an ninh mạng các đội tại Continental Pipeline, Target, TransUnion hoặc bất kỳ công ty nào trong số hàng trăm công ty khác đã trải qua các cuộc tấn công đáng kể.
Làm thế nào một SOC Có tác dụng, và không có tác dụng
Lý thuyết hoạt động đằng sau một SOC đó là nếu bạn thu thập đủ dữ liệu trong toàn bộ doanh nghiệp thông qua các Công cụ bảo mật và CNTT, sau đó sử dụng các nền tảng phân tích để xếp hạng và hình dung các cảnh báo từ các công cụ khác nhau, sau đó cuối cùng triển khai một nhóm phân tích theo cấp để quản lý và phản hồi các cảnh báo, thì chắc chắn, hầu hết hoặc tất cả các cuộc tấn công mạng sẽ được phát hiện nhanh chóng và xử lý trước khi chúng gây ra thiệt hại thực sự. Trải nghiệm thực tế cho chúng ta biết điều khác.
Có một số lý do tại sao SOC kiểu mẫu bị phá vỡ. Ngay từ đầu, tất cả các công cụ bảo mật đó đều đưa ra RẤT NHIỀU cảnh báo - hàng nghìn cảnh báo trong số đó, rất nhiều trong số đó là lành tính. Ví dụ: người dùng thường ở văn phòng đăng nhập từ một vị trí từ xa có thể kích hoạt cảnh báo hoặc người dùng đăng nhập ngoài giờ làm việc có thể kích hoạt cảnh báo. Các nhà phân tích bảo mật phải đối phó với hàng trăm hoặc hàng nghìn cảnh báo “dương tính giả” này mỗi ngày.
Một lý do khác tại sao SOCs thất bại là mỗi công cụ an ninh mạng rời rạc đang được sử dụng có định dạng dữ liệu riêng và thường là bảng điều khiển riêng của nó, và cuối cùng chỉ mô tả một khía cạnh duy nhất của tư thế bảo mật của tổ chức. Trong thế giới ngày nay, nhiều cuộc tấn công mạng phức tạp xảy ra thông qua hai hoặc nhiều vectơ - đó không chỉ là một ai đó đập vào tường lửa, nó có thể là một cuộc tấn công lừa đảo qua e-mail hoặc vi-rút được tải xuống trong quá trình cập nhật chương trình thông thường (như với Tấn công SolarWindsVấn đề là trong một SOCKhông ai tự nhiên nhìn thấy toàn bộ bức tranh – bức tranh đó phải được các nhóm chuyên gia phân tích đối chiếu thủ công trên hàng nghìn cảnh báo. Vì quy trình này được thực hiện thủ công, nó không cho phép tự động hóa mạnh mẽ, cũng như không đảm bảo mọi cảnh báo đều nhận được sự chú ý.
Vì vậy, có quá nhiều cảnh báo, quá nhiều công cụ và không đủ tương quan dữ liệu tự động giữa các công cụ. Nhưng cũng có một vấn đề khác: không đủ các nhà phân tích. Một nghiên cứu toàn cầu về các chuyên gia an ninh mạng của Hiệp hội An ninh Hệ thống Thông tin (ISSA) và công ty phân tích ngành Nhóm Chiến lược Doanh nghiệp (ESG) báo cáo rằng việc đầu tư quá mức vào các công cụ an ninh mạng, kết hợp với thách thức về khối lượng công việc bổ sung cho các nhà phân tích, đang gây ra sự thiếu hụt kỹ năng dẫn đến việc làm không được đáp ứng và nhân viên an ninh thông tin bị kiệt sức cao. Và điều đó cũng khiến chi phí của nhà phân tích tăng lên: một nhà phân tích an ninh mạng cấp cao nhất có thể kiếm được 200,000 đô la mỗi năm.
Tất nhiên, tất cả những điều này đang xảy ra trong một thế giới mà các cuộc tấn công mạng ngày càng tinh vi và nhiều hơn theo tháng.
SOCít hơn – Một cách khác
Nhưng điều gì sẽ xảy ra nếu các công ty từ bỏ SOC ý tưởng? Điều gì sẽ xảy ra nếu họ phân phối hệ thống phòng thủ mạng của mình về mặt địa lý và cho một nhóm chuyên gia cơ sở hạ tầng? Điều gì sẽ xảy ra nếu một nền tảng tự động hóa công việc phản hồi các cảnh báo có mức độ ưu tiên thấp và công việc phức tạp về mối tương quan giữa tất cả các công cụ CNTT và bảo mật? Điều gì sẽ xảy ra nếu các nhà phân tích dành thời gian chủ động tìm kiếm các mối đe dọa và thực hiện các chính sách thông lệ tốt nhất? Điều gì sẽ xảy ra nếu tình trạng mệt mỏi tỉnh táo không tồn tại? Điều này có khả thi không?
Nó là. Chúng ta có thể xem xét các nhóm phát triển phần mềm để biết ví dụ về cách nó có thể hoạt động. Trong DevOps, một cách tiếp cận hiện đại để phát triển phần mềm, các công ty phần mềm tốt nhất trên thế giới không xếp các nhà phát triển của họ thành hàng trong một phòng - họ có các hệ thống cho phép cộng tác không đồng bộ từ những người phân tán trên khắp thế giới. Nhưng còn nhiều điều hơn thế nữa không chỉ là nơi mọi người ngồi.
Trong DevOps, đổi mới và sửa lỗi là một hoạt động liên tục, 24/7 được xây dựng dựa trên hệ thống tích hợp liên tục và phân phối liên tục (CI / CD). CI / CD hiện đại cho phép các nhà phát triển tập trung vào việc xây dựng và cho phép các nhóm nhỏ nhất xây dựng các sản phẩm xác định thị trường. Mundane và các tác vụ phức tạp hoàn toàn tự động trong CI / CD và các nhà phát triển được yêu cầu thực hiện thử nghiệm chủ động cho tất cả các tính năng mà họ triển khai. Điều này làm giảm đáng kể các lỗi và lỗi trong hệ thống, cho phép các nhà phát triển tập trung vào những gì quan trọng nhất.
Công việc truyền thống của một SOC đang hỗ trợ một nhóm con người tận tâm chống lại hàng nghìn cảnh báo. Nhưng các công ty công nghệ hàng đầu đã áp dụng một mô hình mới: các cảnh báo đáng tin cậy, được ghi chép đầy đủ, có độ trung thực cao sẽ thu hút sự chú ý, nhưng hầu hết các cảnh báo có thể bị bỏ qua do tự động hóa. Các nền tảng an ninh mạng tiên tiến nhất tự động gửi các cảnh báo định kỳ tới cơ sở hạ tầng hoặc chủ sở hữu ứng dụng chịu trách nhiệm về khu vực cụ thể đó - cho dù đó là tường lửa, người dùng cuối, ứng dụng hay máy chủ - cùng với một tập hợp các phản hồi được đề xuất. Bằng Alex Maestretti (Hiện là Giám đốc An ninh Thông tin (CISO) tại Remily, trước đây là Quản lý Kỹ thuật tại Netflix, nơi có đội ngũ SecOps) SOCít hơn) đặt nó, đây là những gì có nghĩa là SOCít - phân quyền bộ ba cảnh báo cho các chuyên gia hệ thống. Giải pháp để cảnh báo sự mệt mỏi không phải là nhiều người hơn hoặc nhiều dữ liệu hơn, mà là các hệ thống tự trị mạnh mẽ với các quy trình phi tập trung.
Di chuyển đến SOCÍt hơn
Để làm điều này giây làm việc theo mô hình, bộ phận an ninh cần mọi người liên tục đóng góp những thay đổi chính sách có ý nghĩa, chiến lược phát hiện và sách phát, chứ không phải nhìn chằm chằm vào màn hình để tìm cảnh báo. Cần phải làm việc và cam kết để đạt được trạng thái đó, nhưng nếu các nhà phân tích luôn theo dõi các cảnh báo, họ sẽ không bao giờ giải quyết được vấn đề. Để tăng tính chủ động, các nhóm bảo mật cần CI / CD tương đương đối với cơ sở hạ tầng an ninh.
Yêu cầu đầu tiên là phải có các biện pháp kiểm soát quản lý rủi ro cốt lõi với các thực hành tốt nhất về vệ sinh có thể dễ dàng áp dụng. Một ví dụ điển hình về điều này là việc triển khai triệt để Zero Trust; điều này không chỉ cải thiện tư thế bảo mật của bạn mà còn giảm cảnh báo và nhiễu, do đó đơn giản hóa vấn đề dữ liệu. Yêu cầu thứ hai là an ninh mạng nền tảng phát hiện và phản hồi nơi các chiến lược và sách phát có thể được triển khai nhanh chóng. Việc triển khai và cấu hình nhanh là điều tối quan trọng - thời gian từ khi phát hiện và phản hồi ý tưởng đến khi triển khai sản xuất phải càng gần XNUMX càng tốt. Bất kỳ nền tảng phát hiện và phản hồi nào hỗ trợ điều này sẽ dễ sử dụng và có nội dung độc đáo đáng kể, bao gồm cả phát hiện dựa trên AI và máy học, bởi vì các quy tắc không cắt giảm nó.
Đi SOCít Tuy nhiên, cần nhiều hơn công nghệ. Nó cần một đội ngũ cam kết và các quy trình được mô phỏng lại - trở nên thoải mái với tự động hóa đáng kể, chủ sở hữu cơ sở hạ tầng nhận các cảnh báo liên quan trực tiếp và dành phần lớn thời gian cho công việc bảo mật chủ động. Tuy nhiên, sẽ luôn có nhu cầu về con người và đối với nhiều doanh nghiệp, việc tăng cường nhân sự nội bộ với Nhà cung cấp dịch vụ bảo vệ được quản lý là một cách hiệu quả về chi phí để luôn chủ động. Một doanh nghiệp cần có người để đảm bảo rằng các chiến lược phù hợp được liên tục triển khai và MSSP với việc triển khai nền tảng phát hiện và phản hồi được đồng quản lý cho phép các doanh nghiệp mở rộng quy mô hỗ trợ khi cần thiết. Giống như các doanh nghiệp đã chuyển sang sử dụng đám mây để cung cấp các dịch vụ như một Dịch vụ, họ có thể chuyển sang MSSP cho SOC-dưới-dạng-dịch-vụ lễ vật. Điều này sẽ hỗ trợ nhiều người trong việc hoàn thành nội bộ SOCít sự chuyển tiếp.
Vì vậy, bằng cách xem xét kỹ các chức năng DevOps phân tán và ánh xạ nó tới các hoạt động bảo mật phân tán (SecOps), các công ty có thể bắt đầu đi trước tin tặc trong việc phát hiện và khắc phục các cuộc tấn công phức tạp. Cần phải có một sự thay đổi thực sự trong nhận thức để thực hiện nó, nhưng nhiều công ty lớn nhất và tiên tiến nhất trên hành tinh đã ra đi SOCít. Có lẽ đã đến lúc mọi công ty khác cũng vậy.
