ज्ञान प्रबंधन सुरक्षा ऑर्केस्ट्रेशन, स्वचालन, और प्रतिक्रिया (SOAR) के लिए एक आवश्यक कौशल सेट है। जानें कि सही सुरक्षा विश्लेषण, रोकथाम, और प्रतिक्रिया कैसे ज्ञान साझा करने की संचालन कला पर निर्भर करती है, और हमारी सुरक्षा
गुरु के जोखिम और अनुपालन अधिकारी के रूप में, मैं हमारे पोस्ट किए गए मानकों और नियंत्रणों (सुरक्षा से संबंधित कार्य जो हमें करने की आवश्यकता होती है) के रखरखाव में समय बिताता हूँ, लेकिन मैं यह भी देखता हूँ कि कैसे स्वचालन और ज्ञान प्रबंधन "ताकतवर सुरक्षा" को सक्षम कर सकते हैं। इस प्रथा के लिए उद्योग का शब्द "सुरक्षा ऑर्केस्ट्रेशन, स्वचालन और प्रतिक्रिया" (SOAR) है, लेकिन अपने आप में, स्वचालन हमेशा सफल परिणाम नहीं देता।
उदाहरण के लिए, जब टारगेट स्टोर्स 2013 में प्रसिद्ध रूप से ब्रीच हुए, तो साइबर हमला, आंशिक रूप से, इस कारण सफल हुआ कि सुरक्षा कर्मचारी एक मशीन चेतावनी को नजरअंदाज कर गए जो उनके सुरक्षा सेंसर फीड की बातचीत में दब गई थी। जुड़ाव ने अंततः कंपनी को $300 मिलियन का खर्च दिया और यह एक चेतावनी की कहानी के रूप में कार्य किया कि कई इनपुट जब भ्रम पैदा करते हैं तो क्या गलत हो सकता है।
बेशक, हर छूटी हुई चेतावनी एक टारगेट आकार के उल्लंघन का कारण नहीं बनती। छोटे हमले प्रतिदिन होते हैं। वास्तव में, ब्रीच लेवल इंडेक्स के अनुसार, हर मिनट चार हजार संवेदनशील रिकॉर्ड्स से समझौता किया जाता है। इन घटनाओं से आगे रहने के लिए, संगठन आम तौर पर एक "सुरक्षा स्टैक" का उपयोग करते हैं जो असामान्य व्यवहार या संभावित आक्रमणों को उनके नेटवर्क के खिलाफ झंडा दिखाते हैं। इस स्टैक पर एक कोर टीम या एक पूर्ण सुरक्षा संचालन केंद्र (SOC) द्वारा नजर रखी जाती है, और ये टीमें अक्सर SOAR एप्लिकेशन की मदद से डिजिटल चफ को पहचानने और वास्तविक पर क्रिया करने में सहायता प्राप्त कर रही हैं। नए SOAR विक्रेता परिदृश्य में बिखरे हुए हैं, गार्टनर की रिपोर्ट के अनुसार SOAR क्षेत्र में एक दर्जन से अधिक अलग-अलग फर्में हैं।
फिर भी ये चिकनी, टर्न-की SOAR एप्लिकेशन अपने आप ज्ञान आधार बनाएँ औरPopulate नहीं करते, एक ऐसी जगह जहां विश्लेषक कार्यात्मक, पुनरावृत्त जानकारी पा सकते हैं ताकि उनके वातावरण के भीतर घटनाओं को संशोधित कर सकें। यह परिचालन प्रथा SOC कर्मियों को ज्ञान जाल से गुज़रने और व्यापक टीम के लिए ठोस प्रक्रियाओं का दस्तावेज़ तैयार करने की आवश्यकता होती है।
SOC की दुनिया में डॉक्यूमेंटेशन विशेष रूप से कठिन है, क्योंकि गति खेल की पुस्तिकाओं और प्रक्रियाओं के निर्माण और निरंतर रखरखाव को बाधित करती है। लेकिन इस कदम को नजरअंदाज करना एक विकल्प नहीं है। एक सुरक्षा ब्लॉगर लिखता है, "प्लेबुक के बिना, विश्लेषक अपने अंतर्ज्ञान पर निर्भर हो जाते हैं - जो व्यक्ति के लिए प्रभावी हो सकता है, लेकिन यह पूरे टीम को उस विश्लेषक के दिमाग में मौजूद ज्ञान के प्रति दया पर छोड़ देता है।"
तो एक व्यस्त सुरक्षा विश्लेषक को क्या करना चाहिए?
सुरक्षा, ज्ञान प्रबंधन से मिलें
उत्तर पुराने शिक्षा ज्ञान प्रबंधन के जरिए आता है, जो कि व्यस्त SOC में सिर्फ एक अतिरिक्त कर्तव्य नहीं है, बल्कि एक आवश्यक कौशल सेट है। इसका एक उदाहरण, NIST साइबर सुरक्षा कार्यबल ढाँचा है जो सुरक्षा स्टाफ के बीच ज्ञान प्रबंधन को एक मुख्य विशेषज्ञता के रूप में सूचीबद्ध करता है। इसमें सामग्री निर्माण, सहयोगी उपकरण प्रबंधन और सामान्य रूप से "बौद्धिक पूंजी और जानकारी की सामग्री की पहचान, दस्तावेज़ीकरण, और पहुंच" करने की क्षमता में प्रवीणता शामिल है।
उद्योग के विशेषज्ञ सहमत होते हैं कि एक ज्ञान आधार SOC में एक बड़ा बल गुणक है। अपने लेख "ज्ञान हस्तांतरण के साथ SOC IQ स्तरों को बढ़ाना" में, माइक फॉवेल एक ऐसी कंटेंट स्टोर की विशिष्ट आवश्यकता को उजागर करते हैं जिसे हर कोई पहुँच सकता है और आसानी से बनाए रख सकता है:
"एक केंद्रीकृत डेटाबेस और संरचित प्लेबुक का उपयोग करके स्वचालित दृष्टिकोण लागू करना यह सुनिश्चित करेगा कि ज्ञान हस्तांतरण प्रक्रियाएँ दोहराई जाने वाली, बचाव योग्य और सुसंगत हों।"
SOAR और प्लेबुक एक साथ कैसे काम करते हैं, इसका एक उदाहरण हो सकता है जब एक मशीन चेतावनी सुरक्षा कर्मचारियों को बताती है कि एक बड़ी मात्रा में डेटा संगठन को छोड़ रही है, एक अज्ञात स्थान पर बह रही है। विश्लेषक या समर्पित प्रतिक्रिया करने वाला चेतावनी पर क्रिया करता है और साइट को किसी भी अतिरिक्त कंपनी डेटा को प्राप्त करने से रोकता है, लेकिन यह केवल पहली चरण है जो मानव क्रियाओं की एक श्रृंखला में होनी चाहिए जो घटना की व्यापकता को समझने और प्रभाव का आकलन करने के लिए होती है। प्लेबुक कह सकती है, "डाउनलोड साइट के सर्वर पते और डोमेन को देखें," इसके बाद, "नेटवर्क लॉग की खोज करें और उस सर्वर के लिए किसी भी पिछले डाउनलोड को ढूंढें।"
इन क्रियाओं को निष्पादित करके, घटना का उत्तरदाता अंततः कैसे, क्या, कब, और कहाँ पहेली को एकत्रित करता है ताकि प्रबंधन को सूचित किया जा सके और तदनुसार आगे बढ़ा जा सके (जो संभवतः अपनी खुद की प्लेबुक को प्रेरित करेगा)।
क्योंकि ज्ञान प्रबंधन आपके सुरक्षा स्टैक का हिस्सा होना चाहिए
हालांकि आज के SOAR उपकरण खतरों के संकेतों को पहचानने में मदद कर सकते हैं और उन्हें मानव विश्लेषकों के लिए उठाने में मदद कर सकते हैं, अक्सर ऐसा होता है कि केवल उपकरणों के अपने आप में घटनाओं का जवाब देने और उन्हें समाधान के लिए आगे बढ़ाने के लिए पर्याप्त नहीं होते हैं।
सही सुरक्षा विश्लेषण, रोकथाम, और प्रतिक्रिया अब भी लोगों पर निर्भर करती है और ज्ञान साझा करने की शाश्वत परिचालन कला पर।
सुरक्षा कर्मियों की संख्या वास्तव में बहुत कम है और समय की कमी के कारण उन्हें प्रत्येक नए मामले में तड़का लगाने के लिए मजबूर किया जाता है। सुलभ, अद्यतन, पुनरावृत्त प्लेबुक कार्य करने के लिए एक ऐसा आधार है जो एक वातावरण में हमेशा संभावनात्मक हमले के अधीन है।
गुरु के जोखिम और अनुपालन अधिकारी के रूप में, मैं हमारे पोस्ट किए गए मानकों और नियंत्रणों (सुरक्षा से संबंधित कार्य जो हमें करने की आवश्यकता होती है) के रखरखाव में समय बिताता हूँ, लेकिन मैं यह भी देखता हूँ कि कैसे स्वचालन और ज्ञान प्रबंधन "ताकतवर सुरक्षा" को सक्षम कर सकते हैं। इस प्रथा के लिए उद्योग का शब्द "सुरक्षा ऑर्केस्ट्रेशन, स्वचालन और प्रतिक्रिया" (SOAR) है, लेकिन अपने आप में, स्वचालन हमेशा सफल परिणाम नहीं देता।
उदाहरण के लिए, जब टारगेट स्टोर्स 2013 में प्रसिद्ध रूप से ब्रीच हुए, तो साइबर हमला, आंशिक रूप से, इस कारण सफल हुआ कि सुरक्षा कर्मचारी एक मशीन चेतावनी को नजरअंदाज कर गए जो उनके सुरक्षा सेंसर फीड की बातचीत में दब गई थी। जुड़ाव ने अंततः कंपनी को $300 मिलियन का खर्च दिया और यह एक चेतावनी की कहानी के रूप में कार्य किया कि कई इनपुट जब भ्रम पैदा करते हैं तो क्या गलत हो सकता है।
बेशक, हर छूटी हुई चेतावनी एक टारगेट आकार के उल्लंघन का कारण नहीं बनती। छोटे हमले प्रतिदिन होते हैं। वास्तव में, ब्रीच लेवल इंडेक्स के अनुसार, हर मिनट चार हजार संवेदनशील रिकॉर्ड्स से समझौता किया जाता है। इन घटनाओं से आगे रहने के लिए, संगठन आम तौर पर एक "सुरक्षा स्टैक" का उपयोग करते हैं जो असामान्य व्यवहार या संभावित आक्रमणों को उनके नेटवर्क के खिलाफ झंडा दिखाते हैं। इस स्टैक पर एक कोर टीम या एक पूर्ण सुरक्षा संचालन केंद्र (SOC) द्वारा नजर रखी जाती है, और ये टीमें अक्सर SOAR एप्लिकेशन की मदद से डिजिटल चफ को पहचानने और वास्तविक पर क्रिया करने में सहायता प्राप्त कर रही हैं। नए SOAR विक्रेता परिदृश्य में बिखरे हुए हैं, गार्टनर की रिपोर्ट के अनुसार SOAR क्षेत्र में एक दर्जन से अधिक अलग-अलग फर्में हैं।
फिर भी ये चिकनी, टर्न-की SOAR एप्लिकेशन अपने आप ज्ञान आधार बनाएँ औरPopulate नहीं करते, एक ऐसी जगह जहां विश्लेषक कार्यात्मक, पुनरावृत्त जानकारी पा सकते हैं ताकि उनके वातावरण के भीतर घटनाओं को संशोधित कर सकें। यह परिचालन प्रथा SOC कर्मियों को ज्ञान जाल से गुज़रने और व्यापक टीम के लिए ठोस प्रक्रियाओं का दस्तावेज़ तैयार करने की आवश्यकता होती है।
SOC की दुनिया में डॉक्यूमेंटेशन विशेष रूप से कठिन है, क्योंकि गति खेल की पुस्तिकाओं और प्रक्रियाओं के निर्माण और निरंतर रखरखाव को बाधित करती है। लेकिन इस कदम को नजरअंदाज करना एक विकल्प नहीं है। एक सुरक्षा ब्लॉगर लिखता है, "प्लेबुक के बिना, विश्लेषक अपने अंतर्ज्ञान पर निर्भर हो जाते हैं - जो व्यक्ति के लिए प्रभावी हो सकता है, लेकिन यह पूरे टीम को उस विश्लेषक के दिमाग में मौजूद ज्ञान के प्रति दया पर छोड़ देता है।"
तो एक व्यस्त सुरक्षा विश्लेषक को क्या करना चाहिए?
सुरक्षा, ज्ञान प्रबंधन से मिलें
उत्तर पुराने शिक्षा ज्ञान प्रबंधन के जरिए आता है, जो कि व्यस्त SOC में सिर्फ एक अतिरिक्त कर्तव्य नहीं है, बल्कि एक आवश्यक कौशल सेट है। इसका एक उदाहरण, NIST साइबर सुरक्षा कार्यबल ढाँचा है जो सुरक्षा स्टाफ के बीच ज्ञान प्रबंधन को एक मुख्य विशेषज्ञता के रूप में सूचीबद्ध करता है। इसमें सामग्री निर्माण, सहयोगी उपकरण प्रबंधन और सामान्य रूप से "बौद्धिक पूंजी और जानकारी की सामग्री की पहचान, दस्तावेज़ीकरण, और पहुंच" करने की क्षमता में प्रवीणता शामिल है।
उद्योग के विशेषज्ञ सहमत होते हैं कि एक ज्ञान आधार SOC में एक बड़ा बल गुणक है। अपने लेख "ज्ञान हस्तांतरण के साथ SOC IQ स्तरों को बढ़ाना" में, माइक फॉवेल एक ऐसी कंटेंट स्टोर की विशिष्ट आवश्यकता को उजागर करते हैं जिसे हर कोई पहुँच सकता है और आसानी से बनाए रख सकता है:
"एक केंद्रीकृत डेटाबेस और संरचित प्लेबुक का उपयोग करके स्वचालित दृष्टिकोण लागू करना यह सुनिश्चित करेगा कि ज्ञान हस्तांतरण प्रक्रियाएँ दोहराई जाने वाली, बचाव योग्य और सुसंगत हों।"
SOAR और प्लेबुक एक साथ कैसे काम करते हैं, इसका एक उदाहरण हो सकता है जब एक मशीन चेतावनी सुरक्षा कर्मचारियों को बताती है कि एक बड़ी मात्रा में डेटा संगठन को छोड़ रही है, एक अज्ञात स्थान पर बह रही है। विश्लेषक या समर्पित प्रतिक्रिया करने वाला चेतावनी पर क्रिया करता है और साइट को किसी भी अतिरिक्त कंपनी डेटा को प्राप्त करने से रोकता है, लेकिन यह केवल पहली चरण है जो मानव क्रियाओं की एक श्रृंखला में होनी चाहिए जो घटना की व्यापकता को समझने और प्रभाव का आकलन करने के लिए होती है। प्लेबुक कह सकती है, "डाउनलोड साइट के सर्वर पते और डोमेन को देखें," इसके बाद, "नेटवर्क लॉग की खोज करें और उस सर्वर के लिए किसी भी पिछले डाउनलोड को ढूंढें।"
इन क्रियाओं को निष्पादित करके, घटना का उत्तरदाता अंततः कैसे, क्या, कब, और कहाँ पहेली को एकत्रित करता है ताकि प्रबंधन को सूचित किया जा सके और तदनुसार आगे बढ़ा जा सके (जो संभवतः अपनी खुद की प्लेबुक को प्रेरित करेगा)।
क्योंकि ज्ञान प्रबंधन आपके सुरक्षा स्टैक का हिस्सा होना चाहिए
हालांकि आज के SOAR उपकरण खतरों के संकेतों को पहचानने में मदद कर सकते हैं और उन्हें मानव विश्लेषकों के लिए उठाने में मदद कर सकते हैं, अक्सर ऐसा होता है कि केवल उपकरणों के अपने आप में घटनाओं का जवाब देने और उन्हें समाधान के लिए आगे बढ़ाने के लिए पर्याप्त नहीं होते हैं।
सही सुरक्षा विश्लेषण, रोकथाम, और प्रतिक्रिया अब भी लोगों पर निर्भर करती है और ज्ञान साझा करने की शाश्वत परिचालन कला पर।
सुरक्षा कर्मियों की संख्या वास्तव में बहुत कम है और समय की कमी के कारण उन्हें प्रत्येक नए मामले में तड़का लगाने के लिए मजबूर किया जाता है। सुलभ, अद्यतन, पुनरावृत्त प्लेबुक कार्य करने के लिए एक ऐसा आधार है जो एक वातावरण में हमेशा संभावनात्मक हमले के अधीन है।
