La gestione della conoscenza è una competenza essenziale quando si tratta di orchestrazione, automazione e risposta alla sicurezza (SOAR). Scopri perché un'adeguata analisi della sicurezza, prevenzione e risposta dipendono dall'arte operativa della condivisione della conoscenza e come la nostra sicurezza
Come Responsabile dei Rischi e della Conformità di Guru, trascorro del tempo a gestire i nostri standard e controlli (le cose di sicurezza che dobbiamo fare), ma tengo anche d'occhio come l'automazione e la gestione della conoscenza possano abilitare la “sicurezza tattica.” Il termine dell'industria per questa pratica è “Orchestrazione della Sicurezza, Automazione e Risposta” (SOAR), ma da solo, l'automazione non porta sempre a risultati di successo.
Ad esempio, quando i negozi Target furono famosamente violati nel 2013, l'attacco informatico ha funzionato, in parte, perché il personale di sicurezza ha trascurato un avviso della macchina che era diventato sepolto nel chiacchiericcio dei loro feed dei sensori di sicurezza. La violazione ha costato alla compagnia 300 milioni di dollari e ha servito come una storia di avvertimento su cosa può andare storto quando troppi input causano confusione.
Naturalmente, non ogni avviso trascurato porta a una violazione delle dimensioni di Target. Attacchi più piccoli si verificano ogni giorno. Infatti, secondo il Breach Level Index, oltre quattromila registri sensibili vengono compromessi ogni minuto. Per tenere il passo con questi incidenti, le organizzazioni impiegano tipicamente uno “stack di sicurezza” per segnalare comportamenti insoliti o possibili intrusioni contro la loro rete. Questo stack è monitorato da un team centrale di personale o da un Centro Operativo di Sicurezza (SOC) completo, e sempre di più questi team vengono supportati da applicazioni SOAR per setacciare la paglia digitale e agire su ciò che è reale. Nuovi fornitori SOAR stanno spuntando nel panorama, con Gartner che riporta oltre una dozzina di aziende separate nello spazio SOAR.
Tuttavia, queste applicazioni SOAR lucide e pronte all'uso non creano e popolano una base di conoscenza da sole, un luogo in cui gli analisti possono trovare informazioni utili e ripetibili per affrontare gli incidenti nel loro ambiente. Questa pratica operativa richiede al personale SOC di liberarsi dalla trappola della conoscenza e documentare procedure concrete per il team più ampio.
La documentazione è particolarmente difficile nel mondo SOC, poiché il ritmo inibisce la creazione e la manutenzione continua di manuali operativi e procedure. Ma ignorare questo passaggio non è un'opzione. Scrive un blogger di sicurezza, “Senza manuali, gli analisti tendono a tornare al loro istinto — il che potrebbe essere efficace per l'individuo, ma lascia l'intero team alla mercè delle conoscenze che esistono nella mente di quell'analista.”
Quindi, cosa deve fare un analista di sicurezza in affanno?
Sicurezza, incontra la gestione della conoscenza
La risposta arriva tramite la gestione della conoscenza, che non è solo un compito supplementare all'interno di un SOC impegnato, ma è una competenza essenziale. Un esempio è il NIST Cybersecurity Workforce Framework che elenca la gestione della conoscenza come una competenza fondamentale tra il personale di sicurezza. Ciò include la competenza nella creazione di contenuti, nella gestione degli strumenti collaborativi e nella generale abilità di “identificare, documentare e accedere al capitale intellettuale e ai contenuti informativi.”
Gli esperti dell'industria concordano sul fatto che una base di conoscenza è un enorme moltiplicatore di forze all'interno del SOC. Nel suo articolo “Aumentare i livelli di IQ del SOC con il trasferimento della conoscenza,” Mike Fowler sottolinea il requisito specifico per una risorsa di contenuti che tutti possono accedere e mantenere facilmente:
“Implementare un approccio automatizzato utilizzando un database centralizzato e manuali strutturati garantirà che i processi di trasferimento della conoscenza siano ripetibili, difendibili e coerenti.”
Un esempio di come SOAR e manuali si uniscono potrebbe essere quando un avviso della macchina dice al personale di sicurezza che una grande quantità di dati sta lasciando l'organizzazione, indirizzandosi verso un sito sconosciuto. L'analista o il responsabile dedicato agisce sull'avviso e blocca il sito dal ricevere ulteriori dati aziendali, ma questo è solo il primo passo in quello che dovrebbe essere una serie di azioni umane per comprendere l'ampiezza dell'incidente e valutarne l'impatto. Il manuale potrebbe dire, “Cerca l'indirizzo del server e il dominio del sito di download,” seguito da “Cerca i log di rete e trova eventuali download precedenti a quel server.”
Eseguendo queste azioni, il risponditore all'incidente ricompone infine il puzzle del come, cosa, quando e dove in modo che la direzione possa essere informata e procedere di conseguenza (cosa che probabilmente avrebbe richiesto il proprio manuale).
Perché la gestione della conoscenza dovrebbe far parte del tuo stack di sicurezza
Sebbene gli attuali strumenti SOAR possano aiutare a scovare indicatori di minaccia e metterli a disposizione degli analisti umani, di solito è il caso che gli strumenti da soli non siano sufficienti per rispondere agli incidenti e seguirli fino alla risoluzione.
Un'analisi di sicurezza adeguata, prevenzione e risposta dipendono ancora dalle persone e dall'arte operativa senza tempo della condivisione della conoscenza.
Il personale di sicurezza è troppo scarso e vincolato dal tempo per improvvisare il proprio modo in ogni nuovo incidente. Manuali facilmente accessibili, aggiornati e ripetibili sono la pietra angolare per lavorare in modo più intelligente in un ambiente che è sempre potenzialmente sotto attacco.
Come Responsabile dei Rischi e della Conformità di Guru, trascorro del tempo a gestire i nostri standard e controlli (le cose di sicurezza che dobbiamo fare), ma tengo anche d'occhio come l'automazione e la gestione della conoscenza possano abilitare la “sicurezza tattica.” Il termine dell'industria per questa pratica è “Orchestrazione della Sicurezza, Automazione e Risposta” (SOAR), ma da solo, l'automazione non porta sempre a risultati di successo.
Ad esempio, quando i negozi Target furono famosamente violati nel 2013, l'attacco informatico ha funzionato, in parte, perché il personale di sicurezza ha trascurato un avviso della macchina che era diventato sepolto nel chiacchiericcio dei loro feed dei sensori di sicurezza. La violazione ha costato alla compagnia 300 milioni di dollari e ha servito come una storia di avvertimento su cosa può andare storto quando troppi input causano confusione.
Naturalmente, non ogni avviso trascurato porta a una violazione delle dimensioni di Target. Attacchi più piccoli si verificano ogni giorno. Infatti, secondo il Breach Level Index, oltre quattromila registri sensibili vengono compromessi ogni minuto. Per tenere il passo con questi incidenti, le organizzazioni impiegano tipicamente uno “stack di sicurezza” per segnalare comportamenti insoliti o possibili intrusioni contro la loro rete. Questo stack è monitorato da un team centrale di personale o da un Centro Operativo di Sicurezza (SOC) completo, e sempre di più questi team vengono supportati da applicazioni SOAR per setacciare la paglia digitale e agire su ciò che è reale. Nuovi fornitori SOAR stanno spuntando nel panorama, con Gartner che riporta oltre una dozzina di aziende separate nello spazio SOAR.
Tuttavia, queste applicazioni SOAR lucide e pronte all'uso non creano e popolano una base di conoscenza da sole, un luogo in cui gli analisti possono trovare informazioni utili e ripetibili per affrontare gli incidenti nel loro ambiente. Questa pratica operativa richiede al personale SOC di liberarsi dalla trappola della conoscenza e documentare procedure concrete per il team più ampio.
La documentazione è particolarmente difficile nel mondo SOC, poiché il ritmo inibisce la creazione e la manutenzione continua di manuali operativi e procedure. Ma ignorare questo passaggio non è un'opzione. Scrive un blogger di sicurezza, “Senza manuali, gli analisti tendono a tornare al loro istinto — il che potrebbe essere efficace per l'individuo, ma lascia l'intero team alla mercè delle conoscenze che esistono nella mente di quell'analista.”
Quindi, cosa deve fare un analista di sicurezza in affanno?
Sicurezza, incontra la gestione della conoscenza
La risposta arriva tramite la gestione della conoscenza, che non è solo un compito supplementare all'interno di un SOC impegnato, ma è una competenza essenziale. Un esempio è il NIST Cybersecurity Workforce Framework che elenca la gestione della conoscenza come una competenza fondamentale tra il personale di sicurezza. Ciò include la competenza nella creazione di contenuti, nella gestione degli strumenti collaborativi e nella generale abilità di “identificare, documentare e accedere al capitale intellettuale e ai contenuti informativi.”
Gli esperti dell'industria concordano sul fatto che una base di conoscenza è un enorme moltiplicatore di forze all'interno del SOC. Nel suo articolo “Aumentare i livelli di IQ del SOC con il trasferimento della conoscenza,” Mike Fowler sottolinea il requisito specifico per una risorsa di contenuti che tutti possono accedere e mantenere facilmente:
“Implementare un approccio automatizzato utilizzando un database centralizzato e manuali strutturati garantirà che i processi di trasferimento della conoscenza siano ripetibili, difendibili e coerenti.”
Un esempio di come SOAR e manuali si uniscono potrebbe essere quando un avviso della macchina dice al personale di sicurezza che una grande quantità di dati sta lasciando l'organizzazione, indirizzandosi verso un sito sconosciuto. L'analista o il responsabile dedicato agisce sull'avviso e blocca il sito dal ricevere ulteriori dati aziendali, ma questo è solo il primo passo in quello che dovrebbe essere una serie di azioni umane per comprendere l'ampiezza dell'incidente e valutarne l'impatto. Il manuale potrebbe dire, “Cerca l'indirizzo del server e il dominio del sito di download,” seguito da “Cerca i log di rete e trova eventuali download precedenti a quel server.”
Eseguendo queste azioni, il risponditore all'incidente ricompone infine il puzzle del come, cosa, quando e dove in modo che la direzione possa essere informata e procedere di conseguenza (cosa che probabilmente avrebbe richiesto il proprio manuale).
Perché la gestione della conoscenza dovrebbe far parte del tuo stack di sicurezza
Sebbene gli attuali strumenti SOAR possano aiutare a scovare indicatori di minaccia e metterli a disposizione degli analisti umani, di solito è il caso che gli strumenti da soli non siano sufficienti per rispondere agli incidenti e seguirli fino alla risoluzione.
Un'analisi di sicurezza adeguata, prevenzione e risposta dipendono ancora dalle persone e dall'arte operativa senza tempo della condivisione della conoscenza.
Il personale di sicurezza è troppo scarso e vincolato dal tempo per improvvisare il proprio modo in ogni nuovo incidente. Manuali facilmente accessibili, aggiornati e ripetibili sono la pietra angolare per lavorare in modo più intelligente in un ambiente che è sempre potenzialmente sotto attacco.
