По данным ФБР, количество кибератаки сообщили в их киберподразделение, что на 400% больше, чем в допандемический уровень, и атаки становятся все хуже. От финансовых сайтов до сайтов здравоохранения, правительственных сайтов и цепочек поставок — никто не застрахован от этих атак. Традиционной защитой от этих угроз является Центр оперативного управления безопасностью (SOC) – комната, полная аналитиков, наблюдающих за сигналами безопасности на экранах телевизоров – но эта защита работает не очень хорошо – просто спросите информационной безопасности команды Continental Pipeline, Target, TransUnion или любой из сотен других компаний, подвергшихся серьезным атакам.
Как SOC Работает и не работает
Теория работы SOC заключается в том, что если вы соберете достаточно данных по всему предприятию с помощью различных Инструменты ИТ и безопасности, затем используйте аналитические платформы для ранжирования и визуализации предупреждений от различных инструментов, затем, наконец, разверните многоуровневую группу аналитиков для управления предупреждениями и реагирования на них, тогда, безусловно, большинство или все кибератаки будут быстро обнаружены и обработаны до того, как они нанесут реальный ущерб. Реальный опыт говорит нам об обратном.
Есть несколько причин, по которым SOC модели сломано. Во-первых, все эти инструменты безопасности выдают МНОГО предупреждений — тысячи из них, многие из которых безобидны. Например, пользователь, который обычно находится в офисе и входит в систему из удаленного места, может вызвать оповещение, или пользователь, который входит в систему в нерабочее время, может вызвать оповещение. Аналитикам безопасности приходится иметь дело с сотнями или тысячами таких «ложноположительных» предупреждений каждый день.
Еще одна причина, почему SOCs Ошибка заключается в том, что каждый из отдельных используемых инструментов кибербезопасности имеет свой собственный формат данных и часто свою собственную консоль и в конечном итоге отображает только один аспект состояния безопасности организации. В современном мире многие сложные кибератаки происходят по двум или более направлениям — это может быть не просто попытка взлома брандмауэра, это может быть фишинговая атака через электронную почту или вирус, загруженный во время обычного обновления программы (как в случае с Атака SolarWindsПроблема в том, что в SOCНикто изначально не видит всей картины — эту картину приходится вручную сопоставлять по тысячам оповещений группами аналитиков. Поскольку этот процесс ручной, он не позволяет обеспечить надежную автоматизацию и не дает возможности уделить внимание каждому оповещению.
Итак, слишком много предупреждений, слишком много инструментов и недостаточно автоматической корреляции данных между инструментами. Но есть и другая проблема: не хватает аналитиков. Глобальное исследование специалистов по кибербезопасности, проведенное Ассоциация безопасности информационных систем (ISSA) и отраслевая аналитическая фирма Группа корпоративной стратегии (ESG) сообщает, что недостаточные инвестиции в инструменты кибербезопасности в сочетании с проблемой дополнительной рабочей нагрузки для аналитиков вызывают нехватку навыков, что приводит к незаполненным вакансиям и сильному выгоранию среди сотрудников по информационной безопасности. И это также увеличивает расходы на аналитиков: аналитик по кибербезопасности высшего уровня может зарабатывать 200,000 XNUMX долларов в год.
Конечно, все это происходит в мире, где кибератаки с каждым месяцем становятся все более изощренными и многочисленными.
SOCменьше – Другой способ
Но что, если компании откажутся от SOC идея? Что, если они распределят свою киберзащиту географически и среди группы экспертов по инфраструктуре? Что, если платформа автоматизирует рутинную работу по реагированию на оповещения с низким приоритетом и сложную работу по сопоставлению всех ИТ-инструментов и инструментов безопасности? Что, если бы аналитики тратили свое время на упреждающий поиск угроз и внедрение передовых политик? Что, если бы усталости от бдительности не существовало? Это возможно?
Это. Мы можем обратиться к командам разработчиков программного обеспечения за примером того, как это может работать. В DevOps, современном подходе к разработке программного обеспечения, лучшие компании-разработчики программного обеспечения в мире не выстраивают своих разработчиков в ряды в одной комнате — у них есть системы, которые позволяют асинхронно сотрудничать распределенным людям по всему миру. Но это гораздо больше, чем просто то, где люди сидят.
В DevOps инновации и исправление ошибок — это непрерывная работа в режиме 24/7, построенная на основе систем непрерывной интеграции и непрерывной доставки (CI/CD). Современная CI/CD позволяет разработчикам сосредоточиться на создании и позволяет даже небольшим командам создавать определяющие рынок продукты. В CI/CD рутинные и сложные задачи полностью автоматизированы, и разработчики должны внедрить упреждающее тестирование всех функций, которые они внедряют. Это значительно снижает количество ошибок и ошибок в системах, что позволяет разработчикам сосредоточиться на самом важном.
Традиционная работа А. SOC противопоставляет выделенную команду людей тысячам предупреждений. Но ведущие технологические компании приняли новую модель: надежные, хорошо задокументированные, высокоточные оповещения привлекают внимание, но большинство оповещений можно игнорировать из-за автоматизации. Самые передовые платформы кибербезопасности автоматически отправляют регулярные предупреждения инфраструктуре или владельцу приложения, ответственному за эту конкретную область, будь то брандмауэр, конечный пользователь, приложение или сервер, вместе с набором рекомендуемых ответов. В виде Алекс Маэстретти (в настоящее время работает директором по информационной безопасности в Remily, ранее занимал должность руководителя инженерного отдела в Netflix, где работает команда SecOps) SOCМеньше) авторов письма, это и имеется в виду SOCМеньше – децентрализованная сортировка оповещений системными экспертами. Решение для оповещения об усталости — это не больше людей или больше данных, это надежные автономные системы с децентрализованными процессами.
Миграция в SOCМеньше
Сделать это SecOps модели работы, отдел безопасности нуждается в людях, которые постоянно вносят значимые изменения в политику, стратегии обнаружения и сценарии, а не пялятся на мониторы в поисках предупреждений. Чтобы достичь этого состояния, требуется работа и приверженность, но если аналитики постоянно отслеживают оповещения, они никогда не успеют опередить проблему. Чтобы обеспечить проактивность, группам безопасности необходимо CI / CD эквивалент для инфраструктуры безопасности.
Первое требование состоит в том, чтобы иметь основные средства управления рисками с легко применимыми передовыми методами гигиены. Одним из ярких примеров этого является тщательное внедрение Zero Trust; это не только повышает уровень вашей безопасности, но также снижает количество предупреждений и шума, тем самым упрощая проблему с данными. Второе требование — кибербезопасность. платформа обнаружения и реагирования где стратегии и сценарии могут быть быстро развернуты. Быстрое развертывание и настройка имеют первостепенное значение — время от обнаружения и реагирования до развертывания в производственной среде должно быть как можно ближе к нулю. Любая платформа обнаружения и реагирования, которая поддерживает это, будет проста в использовании и будет иметь значительный готовый контент, включая обнаружение на основе ИИ и машинного обучения, потому что правила не сокращают его.
Собирается SOCМеньше однако требует больше, чем технологии. Для этого требуется сплоченная команда и переосмысленные процессы — чтобы освоиться со значительной автоматизацией, обеспечить непосредственное получение владельцами инфраструктуры соответствующих предупреждений и посвятить большую часть времени проактивной работе по обеспечению безопасности. Однако потребность в людях будет всегда, и для многих предприятий увеличение внутреннего персонала с помощью поставщика услуг управляемой безопасности является экономически эффективным способом оставаться активным. Предприятию действительно нужны люди, чтобы обеспечить постоянное развертывание правильных стратегий, а ППГЧ совместно управляемое развертывание платформы обнаружения и реагирования позволяет предприятиям расширять поддержку по мере необходимости. Подобно тому, как предприятия обратились к облаку за предложениями как услуга, они могут обратиться к ППГЧ для SOC-как услуга предложения. Это поможет многим в завершении внутреннего SOCМеньше переход.
Таким образом, внимательно изучив распределенные функции DevOps и сопоставив их с распределенными операциями безопасности (SecOps), компании могут начать опережать хакеров в плане обнаружения и устранения сложных атак. Чтобы добиться этого, требуется реальное изменение восприятия, но многие из крупнейших и наиболее передовых компаний на планете уже ушли в прошлое. SOCМеньше. Может быть, пришло время и всем другим компаниям.
