Wissensmanagement ist eine wesentliche Fähigkeit, wenn es um Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) geht. Lesen Sie, warum eine angemessene Sicherheitsanalyse, Prävention und Reaktion von der operativen Kunst des Wissensaustauschs abhängt und wie unser Sicherheitsteam
Als Guru’s Risiko- und Compliance-Beauftragter verbringe ich Zeit mit der Pflege unserer veröffentlichten Standards und Kontrollen (Sicherheitszeug, das wir tun müssen), aber ich behalte auch im Auge, wie Automatisierung und Wissensmanagement die „taktische Sicherheit“ ermöglichen können. Der Fachbegriff für diese Praxis ist „Security Orchestration, Automation and Response“ (SOAR), aber die Automatisierung allein führt nicht immer zu erfolgreichen Ergebnissen.
Zum Beispiel, als Target-Filialen 2013 berühmt gehackt wurden, verlief der Cyberangriff teilweise erfolgreich, weil das Sicherheitspersonal einen Maschinenalarm übersehen hatte, der im Rauschen ihrer Sicherheits-Sensor-Feeds begraben war. Der Verstoß kostete letztendlich das Unternehmen 300 Millionen US-Dollar und diente als Warnung, was schiefgehen kann, wenn zu viele Eingaben Verwirrung stiften.
Natürlich führt nicht jeder übersehene Alarm zu einem Target-großen Verstoß. Kleinere Angriffe spielen sich täglich ab. Tatsächlich werden laut dem Breach Level Index über viertausend sensible Datensätze jede Minute kompromittiert. Um diesen Vorfällen einen Schritt voraus zu sein, beschäftigen Organisationen typischerweise einen „Sicherheitsstack“, um ungewöhnliches Verhalten oder mögliche Eindringungen in ihr Netzwerk zu kennzeichnen. Dieser Stack wird von einem Kernteam von Mitarbeitern oder einem vollwertigen Security Operations Center (SOC) überwacht, und immer mehr werden diese Teams durch SOAR-Anwendungen unterstützt, um den digitalen Spreu zu trennen und auf das zu agieren, was wirklich ist. Neue SOAR-Anbieter tauchen überall auf, wobei Gartner über ein Dutzend separater Firmen im SOAR-Bereich berichtet.
Doch diese glänzenden, schlüsselfertigen SOAR-Anwendungen erstellen und füllen nicht von selbst eine Wissensdatenbank, einen Ort, an dem Analysten umsetzbare, wiederholbare Informationen finden können, um Vorfälle in ihrer Umgebung zu bewältigen. Diese operationale Praxis erfordert, dass SOC-Personal sich aus der Wissensfalle befreit und konkrete Verfahren für das breitere Team dokumentiert.
Dokumentation ist in der SOC-Welt besonders schwierig, da das Tempo die Erstellung und laufende Pflege von Playbooks und Verfahren hemmt. Aber diesen Schritt einfach abzulehnen, ist keine Option. Schreibt ein Sicherheitsblogger: „Ohne Playbooks tendieren Analysten dazu, auf ihr Bauchgefühl zurückzugreifen – was für den Einzelnen effektiv sein kann, aber das gesamte Team dem Wissen aussetzt, das in dem Kopf dieses Analysts steckt.“
Was ist also ein gestresster Sicherheitsanalyst zu tun?
Sicherheit, meet Wissensmanagement
Die Antwort kommt durch klassisches Wissensmanagement, das nicht nur eine zusätzliche Aufgabe innerhalb eines beschäftigten SOC darstellt, sondern eine wesentliche Fähigkeit ist. Ein Beispiel: Der NIST Cybersecurity Workforce Framework listet Wissensmanagement als eine Kernexpertise unter Sicherheitspersonal . Dazu gehört die Kompetenz in der Inhaltserstellung, dem Management von Kollaborationstools und die allgemeine Fähigkeit, „intellektuelles Kapital und Informationsinhalte zu identifizieren, zu dokumentieren und darauf zuzugreifen.“
Branchenspezialisten stimmen zu, dass eine Wissensdatenbank ein enormer Multiplikator innerhalb des SOC ist. In seinem Artikel „Erhöhung der SOC-IQ-Levels durch Wissensübertragung“ fordert Mike Fowler die spezifische Anforderung an einen Inhaltsstore, auf den jeder zugreifen und den alle leicht verwalten können:
„Die Implementierung eines automatisierten Ansatzes mit einer zentralen Datenbank und strukturierten Playbooks wird sicherstellen, dass die Wissensübertragungsprozesse wiederholbar, rechtfertigbar und konsistent sind.“
Ein Beispiel, wie SOAR und Playbooks zusammenkommen, könnte sein, dass ein Maschinenalarm das Sicherheitspersonal darüber informiert, dass eine große Menge Daten das Unternehmen verlässt und zu einer unbekannten Seite gefiltert wird. Der Analyst oder der zugewiesene Bearbeiter reagiert auf den Alarm und blockiert die Seite, um zusätzliche Unternehmensdaten zu erhalten, aber dies ist nur der erste Schritt in einer Reihe von menschlichen Aktionen, um das Ausmaß des Vorfalls zu verstehen und die Auswirkungen zu bewerten. Das Playbook könnte sagen: „Ermitteln Sie die Serveradresse und die Domain der Download-Seite“, gefolgt von: „Durchsuchen Sie die Netzwerkprotokolle und lokalisieren Sie mögliche vorherige Downloads zu diesem Server.“
Durch die Durchführung dieser Aktionen fügt der Vorfallbearbeiter letztendlich das Puzzle bezüglich wie, was, wann und wo zusammen, damit das Management informiert werden kann und entsprechend fortfahren kann (was wahrscheinlich ein eigenes Playbook zur Folge hätte).
Warum Wissensmanagement Teil Ihres Sicherheitsstacks sein sollte
Obwohl die heutigen SOAR-Tools dabei helfen können, Bedrohungsanzeigen zu erkennen und sie für menschliche Analysten bereitzustellen, ist es normalerweise der Fall, dass die Werkzeuge allein nicht ausreichen, um auf Vorfälle zu reagieren und sie bis zur Lösung zu verfolgen.
Ein angemessener Sicherheitsanalyse-, Präventions- und Reaktionsprozess hängt nach wie vor von Menschen und der zeitlosen operativen Kunst des Wissensaustauschs ab.
Sicherheitspersonal ist viel zu knapp und zeitlich beschränkt, um sich bei jedem neuen Vorfall auf eigene Faust zu helfen. Leicht zugängliche, aktualisierte, wiederholbare Playbooks sind das Fundament, um in einer Umgebung, die immer potenziell angegriffen wird, intelligenter zu arbeiten.
Als Guru’s Risiko- und Compliance-Beauftragter verbringe ich Zeit mit der Pflege unserer veröffentlichten Standards und Kontrollen (Sicherheitszeug, das wir tun müssen), aber ich behalte auch im Auge, wie Automatisierung und Wissensmanagement die „taktische Sicherheit“ ermöglichen können. Der Fachbegriff für diese Praxis ist „Security Orchestration, Automation and Response“ (SOAR), aber die Automatisierung allein führt nicht immer zu erfolgreichen Ergebnissen.
Zum Beispiel, als Target-Filialen 2013 berühmt gehackt wurden, verlief der Cyberangriff teilweise erfolgreich, weil das Sicherheitspersonal einen Maschinenalarm übersehen hatte, der im Rauschen ihrer Sicherheits-Sensor-Feeds begraben war. Der Verstoß kostete letztendlich das Unternehmen 300 Millionen US-Dollar und diente als Warnung, was schiefgehen kann, wenn zu viele Eingaben Verwirrung stiften.
Natürlich führt nicht jeder übersehene Alarm zu einem Target-großen Verstoß. Kleinere Angriffe spielen sich täglich ab. Tatsächlich werden laut dem Breach Level Index über viertausend sensible Datensätze jede Minute kompromittiert. Um diesen Vorfällen einen Schritt voraus zu sein, beschäftigen Organisationen typischerweise einen „Sicherheitsstack“, um ungewöhnliches Verhalten oder mögliche Eindringungen in ihr Netzwerk zu kennzeichnen. Dieser Stack wird von einem Kernteam von Mitarbeitern oder einem vollwertigen Security Operations Center (SOC) überwacht, und immer mehr werden diese Teams durch SOAR-Anwendungen unterstützt, um den digitalen Spreu zu trennen und auf das zu agieren, was wirklich ist. Neue SOAR-Anbieter tauchen überall auf, wobei Gartner über ein Dutzend separater Firmen im SOAR-Bereich berichtet.
Doch diese glänzenden, schlüsselfertigen SOAR-Anwendungen erstellen und füllen nicht von selbst eine Wissensdatenbank, einen Ort, an dem Analysten umsetzbare, wiederholbare Informationen finden können, um Vorfälle in ihrer Umgebung zu bewältigen. Diese operationale Praxis erfordert, dass SOC-Personal sich aus der Wissensfalle befreit und konkrete Verfahren für das breitere Team dokumentiert.
Dokumentation ist in der SOC-Welt besonders schwierig, da das Tempo die Erstellung und laufende Pflege von Playbooks und Verfahren hemmt. Aber diesen Schritt einfach abzulehnen, ist keine Option. Schreibt ein Sicherheitsblogger: „Ohne Playbooks tendieren Analysten dazu, auf ihr Bauchgefühl zurückzugreifen – was für den Einzelnen effektiv sein kann, aber das gesamte Team dem Wissen aussetzt, das in dem Kopf dieses Analysts steckt.“
Was ist also ein gestresster Sicherheitsanalyst zu tun?
Sicherheit, meet Wissensmanagement
Die Antwort kommt durch klassisches Wissensmanagement, das nicht nur eine zusätzliche Aufgabe innerhalb eines beschäftigten SOC darstellt, sondern eine wesentliche Fähigkeit ist. Ein Beispiel: Der NIST Cybersecurity Workforce Framework listet Wissensmanagement als eine Kernexpertise unter Sicherheitspersonal . Dazu gehört die Kompetenz in der Inhaltserstellung, dem Management von Kollaborationstools und die allgemeine Fähigkeit, „intellektuelles Kapital und Informationsinhalte zu identifizieren, zu dokumentieren und darauf zuzugreifen.“
Branchenspezialisten stimmen zu, dass eine Wissensdatenbank ein enormer Multiplikator innerhalb des SOC ist. In seinem Artikel „Erhöhung der SOC-IQ-Levels durch Wissensübertragung“ fordert Mike Fowler die spezifische Anforderung an einen Inhaltsstore, auf den jeder zugreifen und den alle leicht verwalten können:
„Die Implementierung eines automatisierten Ansatzes mit einer zentralen Datenbank und strukturierten Playbooks wird sicherstellen, dass die Wissensübertragungsprozesse wiederholbar, rechtfertigbar und konsistent sind.“
Ein Beispiel, wie SOAR und Playbooks zusammenkommen, könnte sein, dass ein Maschinenalarm das Sicherheitspersonal darüber informiert, dass eine große Menge Daten das Unternehmen verlässt und zu einer unbekannten Seite gefiltert wird. Der Analyst oder der zugewiesene Bearbeiter reagiert auf den Alarm und blockiert die Seite, um zusätzliche Unternehmensdaten zu erhalten, aber dies ist nur der erste Schritt in einer Reihe von menschlichen Aktionen, um das Ausmaß des Vorfalls zu verstehen und die Auswirkungen zu bewerten. Das Playbook könnte sagen: „Ermitteln Sie die Serveradresse und die Domain der Download-Seite“, gefolgt von: „Durchsuchen Sie die Netzwerkprotokolle und lokalisieren Sie mögliche vorherige Downloads zu diesem Server.“
Durch die Durchführung dieser Aktionen fügt der Vorfallbearbeiter letztendlich das Puzzle bezüglich wie, was, wann und wo zusammen, damit das Management informiert werden kann und entsprechend fortfahren kann (was wahrscheinlich ein eigenes Playbook zur Folge hätte).
Warum Wissensmanagement Teil Ihres Sicherheitsstacks sein sollte
Obwohl die heutigen SOAR-Tools dabei helfen können, Bedrohungsanzeigen zu erkennen und sie für menschliche Analysten bereitzustellen, ist es normalerweise der Fall, dass die Werkzeuge allein nicht ausreichen, um auf Vorfälle zu reagieren und sie bis zur Lösung zu verfolgen.
Ein angemessener Sicherheitsanalyse-, Präventions- und Reaktionsprozess hängt nach wie vor von Menschen und der zeitlosen operativen Kunst des Wissensaustauschs ab.
Sicherheitspersonal ist viel zu knapp und zeitlich beschränkt, um sich bei jedem neuen Vorfall auf eigene Faust zu helfen. Leicht zugängliche, aktualisierte, wiederholbare Playbooks sind das Fundament, um in einer Umgebung, die immer potenziell angegriffen wird, intelligenter zu arbeiten.
