La gestion des connaissances est un ensemble de compétences essentiel en matière d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). Lisez pourquoi une analyse, une prévention et une réponse appropriées en matière de sécurité dépendent de l'art opérationnel du partage des connaissances, et comment notre sécurité
En tant que responsable des risques et de la conformité de Guru, je consacre du temps à la gestion de nos normes et contrôles publiés (ce que nous devons faire en matière de sécurité), mais je garde également un œil sur la façon dont l'automatisation et la gestion des connaissances peuvent permettre une « sécurité tactique ». Le terme de l'industrie pour cette pratique est « Orchestration de la sécurité, automatisation et réponse » (SOAR), mais à lui seul, l'automatisation ne rend pas toujours des résultats positifs.
Par exemple, lorsque les magasins Target ont été célèbrement attaqués en 2013, l'attaque cybernétique a réussi, en partie, parce que le personnel de sécurité a ignoré une alerte machine qui était devenue enfouie dans le flot de leurs flux de capteurs de sécurité. La violation a finalement coûté à l'entreprise 300 millions de dollars et a servi d'avertissement sur ce qui peut mal se passer quand trop d'entrées causent de la confusion.
Bien sûr, toutes les alertes manquées ne conduisent pas à une violation de taille Target. Des attaques plus petites ont lieu chaque jour. En fait, selon le Breach Level Index, plus de quatre mille dossiers sensibles sont compromis chaque minute. Pour rester en avance sur ces incidents, les organisations emploient généralement une « pile de sécurité » pour signaler des comportements inhabituels ou des intrusions possibles contre leur réseau. Cette pile est surveillée par une équipe de personnel ou un Centre d'opérations de sécurité (SOC) complet, et de plus en plus, ces équipes sont aidées par des applications SOAR pour déceler le faux numérique et agir sur ce qui est réel. De nouveaux fournisseurs SOAR apparaissent sur le paysage, avec Gartner rapportant plus d'une douzaine d'entreprises différentes dans l'espace SOAR.
Pourtant, ces applications SOAR élégantes et prêtes à l'emploi ne créent pas et ne peuplent pas une base de connaissances par elles-mêmes, un endroit où les analystes peuvent trouver des informations exploitables et répétables pour gérer les incidents dans leur environnement. Cette pratique opérationnelle exige que le personnel du SOC se libère du piège de la connaissance et documente des procédures concrètes pour l'équipe élargie.
La documentation est particulièrement difficile dans le monde du SOC, car le rythme freine la création et le maintien constant de playbooks et de procédures. Mais ignorer cette étape n'est pas une option. Écrit un blogueur en sécurité, « Sans playbooks, les analystes ont tendance à revenir à leur instinct - ce qui peut être efficace pour l'individu, mais cela laisse toute l'équipe à la merci des connaissances qui existent dans l'esprit de cet analyste. »
Que doit faire un analyste de sécurité harcelé ?
Sécurité, meet gestion des connaissances
La réponse vient de la bonne vieille gestion des connaissances, qui n'est pas juste un devoir supplémentaire au sein d'un SOC chargé, mais représente un ensemble de compétences essentiel. Prenons un exemple, le NIST Cybersecurity Workforce Framework considère la gestion des connaissances comme une expertise fondamentale parmi le personnel de sécurité. Cela inclut la maîtrise de la création de contenu, de la gestion des outils collaboratifs et la capacité générale d'« identifier, documenter et accéder au capital intellectuel et au contenu de l'information ».
Les experts de l'industrie s'accordent à dire qu'une base de connaissances est un puissant multiplicateur de force au sein du SOC. Dans son article « Augmenter le niveau de QI des SOC avec le transfert de connaissances », Mike Fowler souligne le besoin spécifique d'un magasin de contenu auquel tout le monde peut accéder et qu'il est facile de maintenir :
« Mettre en œuvre une approche automatisée utilisant une base de données centralisée et des playbooks structurés garantira que les processus de transfert de connaissances sont répétables, défendables et cohérents. »
Un exemple de la manière dont SOAR et les playbooks se rejoignent pourrait être où une alerte machine informe le personnel de sécurité qu'une grande quantité de données quitte l'organisation, s'écoulant vers un site inconnu. L'analyste ou le répondant dédié agit sur l'alerte et bloque le site d recevoir toute donnée supplémentaire de l'entreprise, mais cela n'est que la première étape d'une série d'actions humaines pour comprendre l'ampleur de l'incident et évaluer son impact. Le playbook pourrait dire, « Recherchez l'adresse du serveur et le domaine du site de téléchargement, » suivi de, « Recherchez les journaux réseau et localisez tous les téléchargements précédents vers ce serveur. »
En exécutant ces actions, le répondant à l'incident reconstitue finalement le puzzle du comment, quoi, quand et où pour que la direction puisse être informée et agir en conséquence (ce qui susciterait probablement son propre playbook).
Pourquoi la gestion des connaissances devrait faire partie de votre pile de sécurité
Bien que les outils SOAR d'aujourd'hui puissent aider à déceler les indicateurs de menace et à les préparer pour les analystes humains, il est généralement vrai que des outils à eux seuls ne suffisent pas à répondre aux incidents et à les suivre jusqu'à leur résolution.
Une analyse de sécurité appropriée, la prévention et la réponse dépendent toujours des personnes et de l'art opérationnel intemporel du partage des connaissances.
Le personnel de sécurité est bien trop rare et contraint par le temps pour improviser leur chemin à travers chaque nouvel incident. Des playbooks facilement accessibles, mis à jour et répétables sont la pierre angulaire pour travailler plus intelligemment dans un environnement qui est toujours potentiellement sous attaque.
En tant que responsable des risques et de la conformité de Guru, je consacre du temps à la gestion de nos normes et contrôles publiés (ce que nous devons faire en matière de sécurité), mais je garde également un œil sur la façon dont l'automatisation et la gestion des connaissances peuvent permettre une « sécurité tactique ». Le terme de l'industrie pour cette pratique est « Orchestration de la sécurité, automatisation et réponse » (SOAR), mais à lui seul, l'automatisation ne rend pas toujours des résultats positifs.
Par exemple, lorsque les magasins Target ont été célèbrement attaqués en 2013, l'attaque cybernétique a réussi, en partie, parce que le personnel de sécurité a ignoré une alerte machine qui était devenue enfouie dans le flot de leurs flux de capteurs de sécurité. La violation a finalement coûté à l'entreprise 300 millions de dollars et a servi d'avertissement sur ce qui peut mal se passer quand trop d'entrées causent de la confusion.
Bien sûr, toutes les alertes manquées ne conduisent pas à une violation de taille Target. Des attaques plus petites ont lieu chaque jour. En fait, selon le Breach Level Index, plus de quatre mille dossiers sensibles sont compromis chaque minute. Pour rester en avance sur ces incidents, les organisations emploient généralement une « pile de sécurité » pour signaler des comportements inhabituels ou des intrusions possibles contre leur réseau. Cette pile est surveillée par une équipe de personnel ou un Centre d'opérations de sécurité (SOC) complet, et de plus en plus, ces équipes sont aidées par des applications SOAR pour déceler le faux numérique et agir sur ce qui est réel. De nouveaux fournisseurs SOAR apparaissent sur le paysage, avec Gartner rapportant plus d'une douzaine d'entreprises différentes dans l'espace SOAR.
Pourtant, ces applications SOAR élégantes et prêtes à l'emploi ne créent pas et ne peuplent pas une base de connaissances par elles-mêmes, un endroit où les analystes peuvent trouver des informations exploitables et répétables pour gérer les incidents dans leur environnement. Cette pratique opérationnelle exige que le personnel du SOC se libère du piège de la connaissance et documente des procédures concrètes pour l'équipe élargie.
La documentation est particulièrement difficile dans le monde du SOC, car le rythme freine la création et le maintien constant de playbooks et de procédures. Mais ignorer cette étape n'est pas une option. Écrit un blogueur en sécurité, « Sans playbooks, les analystes ont tendance à revenir à leur instinct - ce qui peut être efficace pour l'individu, mais cela laisse toute l'équipe à la merci des connaissances qui existent dans l'esprit de cet analyste. »
Que doit faire un analyste de sécurité harcelé ?
Sécurité, meet gestion des connaissances
La réponse vient de la bonne vieille gestion des connaissances, qui n'est pas juste un devoir supplémentaire au sein d'un SOC chargé, mais représente un ensemble de compétences essentiel. Prenons un exemple, le NIST Cybersecurity Workforce Framework considère la gestion des connaissances comme une expertise fondamentale parmi le personnel de sécurité. Cela inclut la maîtrise de la création de contenu, de la gestion des outils collaboratifs et la capacité générale d'« identifier, documenter et accéder au capital intellectuel et au contenu de l'information ».
Les experts de l'industrie s'accordent à dire qu'une base de connaissances est un puissant multiplicateur de force au sein du SOC. Dans son article « Augmenter le niveau de QI des SOC avec le transfert de connaissances », Mike Fowler souligne le besoin spécifique d'un magasin de contenu auquel tout le monde peut accéder et qu'il est facile de maintenir :
« Mettre en œuvre une approche automatisée utilisant une base de données centralisée et des playbooks structurés garantira que les processus de transfert de connaissances sont répétables, défendables et cohérents. »
Un exemple de la manière dont SOAR et les playbooks se rejoignent pourrait être où une alerte machine informe le personnel de sécurité qu'une grande quantité de données quitte l'organisation, s'écoulant vers un site inconnu. L'analyste ou le répondant dédié agit sur l'alerte et bloque le site d recevoir toute donnée supplémentaire de l'entreprise, mais cela n'est que la première étape d'une série d'actions humaines pour comprendre l'ampleur de l'incident et évaluer son impact. Le playbook pourrait dire, « Recherchez l'adresse du serveur et le domaine du site de téléchargement, » suivi de, « Recherchez les journaux réseau et localisez tous les téléchargements précédents vers ce serveur. »
En exécutant ces actions, le répondant à l'incident reconstitue finalement le puzzle du comment, quoi, quand et où pour que la direction puisse être informée et agir en conséquence (ce qui susciterait probablement son propre playbook).
Pourquoi la gestion des connaissances devrait faire partie de votre pile de sécurité
Bien que les outils SOAR d'aujourd'hui puissent aider à déceler les indicateurs de menace et à les préparer pour les analystes humains, il est généralement vrai que des outils à eux seuls ne suffisent pas à répondre aux incidents et à les suivre jusqu'à leur résolution.
Une analyse de sécurité appropriée, la prévention et la réponse dépendent toujours des personnes et de l'art opérationnel intemporel du partage des connaissances.
Le personnel de sécurité est bien trop rare et contraint par le temps pour improviser leur chemin à travers chaque nouvel incident. Des playbooks facilement accessibles, mis à jour et répétables sont la pierre angulaire pour travailler plus intelligemment dans un environnement qui est toujours potentiellement sous attaque.
