How Knowledge Management Makes Security SOAR
ナレッジ管理は、セキュリティオーケストレーション、自動化、応答(SOAR)において必須のスキルセットです。 適切なセキュリティ分析、予防、応答がナレッジ共有の運用アートに依存している理由をご覧ください。
Guruのリスクおよびコンプライアンス担当官として、投稿した基準と管理(私たちが行う必要のあるセキュリティ関連のこと)についての管理に時間を費やしますが、私はまた、自動化とナレッジ管理が「戦術的セキュリティ」を実現する方法にも目を向けています。 この慣行の業界用語は「セキュリティオーケストレーション、自動化、応答」(SOAR)ですが、自動化そのものは必ずしも成功した結果をもたらすわけではありません。
たとえば、2013年にターゲットストアが名高いデータ侵害を受けたとき、サイバー攻撃が成功したのは、部分的にはセキュリティスタッフが警告を見逃し、その警告がセンサーのフィードの中に埋もれてしまったためです。 その結果、会社は3億ドルの損失を被りました。これは、多すぎる情報が混乱を引き起こすと何が間違うかの警告的な例となりました。
もちろん、すべての見逃された警告がターゲット規模の侵害につながるわけではありません。 小規模な攻撃は日々展開されています。 実際、Breach Level Indexによると、毎分4,000件以上の機密記録が侵害されています。 これらの事件に先手を打つために、組織は通常、「セキュリティスタック」を使用して、不審な行動やネットワークに対する侵入の可能性を警告します。 このスタックは、コアチームのスタッフまたは完全装備のセキュリティオペレーションセンター(SOC)によって監視されており、これらのチームは、SOARアプリケーションによってデジタルチョフを特定し、実際の事象に対処する手助けを受けています。 新しいSOARベンダーが風景を点在していて、ガートナーによればSOAR分野には十数社の別々の企業があります。
しかし、これらの洗練されたターンキーのSOARアプリケーションは、アナリストが環境内のインシデントに対処するための実行可能で再現可能な情報を見つけることができるナレッジベースを生成したり、充填したりすることはありません。 この運用上の慣行は、SOCの人員がナレッジトラップから抜け出し、広範なチームのための具体的な手順を文書化する必要があります。
文書化は特にSOCの世界では難しく、ペースがプレイブックや手順の作成および維持を抑制します。 しかし、このステップを無視することは選択肢ではありません。 あるセキュリティブロガーが書いています、「プレイブックがないと、アナリストは直感に頼る傾向があり、個人には効果的かもしれませんが、チーム全体はそのアナリストの頭の中にある知識に依存することになります。」
それでは、困ったセキュリティアナリストはどうすればよいのでしょうか?
セキュリティ、ナレッジ管理と出会う
その答えは、良い古典的なナレッジ管理の道を通ってきます。これは、忙しいSOC内の追加の職務に過ぎないのではなく、必要なスキルセットです。 具体例として、NISTサイバーセキュリティワークフォースフレームワークは、セキュリティスタッフの核となる専門技術としてナレッジ管理を挙げています。 これには、コンテンツ作成、共同ツール管理、一般的に「知的資本と情報コンテンツを特定、文書化し、アクセスする能力」が含まれます。
業界の専門家は、ナレッジベースがSOC内で大きな力の倍増器であることに同意しています。 彼の記事「ナレッジトランスファーによるSOC IQレベルの向上」において、マイク・ファウラーは、誰もがアクセスして簡単に維持できるコンテンツストアの具体的な要件を挙げています。
「中央のデータベースと構造化されたプレイブックを使用した自動化アプローチを実装することは、ナレッジトランスファープロセスが再現可能であり、弁護可能かつ一貫性を持つことを保障します。」
SOARとプレイブックがどのように結びつくかの一例は、機械の警告がセキュリティスタッフに、大量のデータが組織を離れ、未知のサイトに流れ出していることを伝える場合です。 アナリストまたは専任の応答者は、警告に基づいて行動し、そのサイトが追加の会社データを受け取るのをブロックしますが、これはインシデントの広がりを理解し影響を評価するために必要な一連の人間の行動の最初のステップに過ぎません。 プレイブックには、「ダウンロードサイトのサーバーアドレスとドメインを調べる」と記載されているかもしれません。それに続いて、「ネットワークログを検索して、そのサーバーへの以前のダウンロードを見つける」と続いています。
これらのアクションを実行することで、インシデント応答者は最終的に、どのように、何を、いつ、どこでというパズルを組み合わせ、管理側に情報を提供し、その後適切な手続きを進めることができます(これにより独自のプレイブックが促発される可能性があります)。
なぜナレッジ管理があなたのセキュリティスタックの一部であるべきか
今日のSOARツールは、脅威指標を特定し、人間のアナリストに提示するのに役立ちますが、そのツールだけではインシデントに対応し、解決まで追いやるには不十分だというのが通常のケースです。
適切なセキュリティ分析、予防、および応答は、依然として人に依存し、ナレッジ共有の不変の運用アートに依存しています。
セキュリティ担当者は、各新しいインシデントを即興で対応するにはあまりにも貴重で時間に制約があります。 容易にアクセスでき、更新され、再現可能なプレイブックは、常に攻撃を受ける可能性がある環境の中で、スマートに作業をするための基礎です。
GuruのセキュリティチームがGuruを用いてセキュリティナレッジ管理を行っている方法については、私のブログ投稿収益チームの補足:Guruがすべてのチームにどのように利益をもたらすか、特にセキュリティチームについてをご覧ください。
Guruのリスクおよびコンプライアンス担当官として、投稿した基準と管理(私たちが行う必要のあるセキュリティ関連のこと)についての管理に時間を費やしますが、私はまた、自動化とナレッジ管理が「戦術的セキュリティ」を実現する方法にも目を向けています。 この慣行の業界用語は「セキュリティオーケストレーション、自動化、応答」(SOAR)ですが、自動化そのものは必ずしも成功した結果をもたらすわけではありません。
たとえば、2013年にターゲットストアが名高いデータ侵害を受けたとき、サイバー攻撃が成功したのは、部分的にはセキュリティスタッフが警告を見逃し、その警告がセンサーのフィードの中に埋もれてしまったためです。 その結果、会社は3億ドルの損失を被りました。これは、多すぎる情報が混乱を引き起こすと何が間違うかの警告的な例となりました。
もちろん、すべての見逃された警告がターゲット規模の侵害につながるわけではありません。 小規模な攻撃は日々展開されています。 実際、Breach Level Indexによると、毎分4,000件以上の機密記録が侵害されています。 これらの事件に先手を打つために、組織は通常、「セキュリティスタック」を使用して、不審な行動やネットワークに対する侵入の可能性を警告します。 このスタックは、コアチームのスタッフまたは完全装備のセキュリティオペレーションセンター(SOC)によって監視されており、これらのチームは、SOARアプリケーションによってデジタルチョフを特定し、実際の事象に対処する手助けを受けています。 新しいSOARベンダーが風景を点在していて、ガートナーによればSOAR分野には十数社の別々の企業があります。
しかし、これらの洗練されたターンキーのSOARアプリケーションは、アナリストが環境内のインシデントに対処するための実行可能で再現可能な情報を見つけることができるナレッジベースを生成したり、充填したりすることはありません。 この運用上の慣行は、SOCの人員がナレッジトラップから抜け出し、広範なチームのための具体的な手順を文書化する必要があります。
文書化は特にSOCの世界では難しく、ペースがプレイブックや手順の作成および維持を抑制します。 しかし、このステップを無視することは選択肢ではありません。 あるセキュリティブロガーが書いています、「プレイブックがないと、アナリストは直感に頼る傾向があり、個人には効果的かもしれませんが、チーム全体はそのアナリストの頭の中にある知識に依存することになります。」
それでは、困ったセキュリティアナリストはどうすればよいのでしょうか?
セキュリティ、ナレッジ管理と出会う
その答えは、良い古典的なナレッジ管理の道を通ってきます。これは、忙しいSOC内の追加の職務に過ぎないのではなく、必要なスキルセットです。 具体例として、NISTサイバーセキュリティワークフォースフレームワークは、セキュリティスタッフの核となる専門技術としてナレッジ管理を挙げています。 これには、コンテンツ作成、共同ツール管理、一般的に「知的資本と情報コンテンツを特定、文書化し、アクセスする能力」が含まれます。
業界の専門家は、ナレッジベースがSOC内で大きな力の倍増器であることに同意しています。 彼の記事「ナレッジトランスファーによるSOC IQレベルの向上」において、マイク・ファウラーは、誰もがアクセスして簡単に維持できるコンテンツストアの具体的な要件を挙げています。
「中央のデータベースと構造化されたプレイブックを使用した自動化アプローチを実装することは、ナレッジトランスファープロセスが再現可能であり、弁護可能かつ一貫性を持つことを保障します。」
SOARとプレイブックがどのように結びつくかの一例は、機械の警告がセキュリティスタッフに、大量のデータが組織を離れ、未知のサイトに流れ出していることを伝える場合です。 アナリストまたは専任の応答者は、警告に基づいて行動し、そのサイトが追加の会社データを受け取るのをブロックしますが、これはインシデントの広がりを理解し影響を評価するために必要な一連の人間の行動の最初のステップに過ぎません。 プレイブックには、「ダウンロードサイトのサーバーアドレスとドメインを調べる」と記載されているかもしれません。それに続いて、「ネットワークログを検索して、そのサーバーへの以前のダウンロードを見つける」と続いています。
これらのアクションを実行することで、インシデント応答者は最終的に、どのように、何を、いつ、どこでというパズルを組み合わせ、管理側に情報を提供し、その後適切な手続きを進めることができます(これにより独自のプレイブックが促発される可能性があります)。
なぜナレッジ管理があなたのセキュリティスタックの一部であるべきか
今日のSOARツールは、脅威指標を特定し、人間のアナリストに提示するのに役立ちますが、そのツールだけではインシデントに対応し、解決まで追いやるには不十分だというのが通常のケースです。
適切なセキュリティ分析、予防、および応答は、依然として人に依存し、ナレッジ共有の不変の運用アートに依存しています。
セキュリティ担当者は、各新しいインシデントを即興で対応するにはあまりにも貴重で時間に制約があります。 容易にアクセスでき、更新され、再現可能なプレイブックは、常に攻撃を受ける可能性がある環境の中で、スマートに作業をするための基礎です。
GuruのセキュリティチームがGuruを用いてセキュリティナレッジ管理を行っている方法については、私のブログ投稿収益チームの補足:Guruがすべてのチームにどのように利益をもたらすか、特にセキュリティチームについてをご覧ください。
Experience the power of the Guru platform firsthand – take our interactive product tour
見学する
![[閉じる] アイコン](https://cdn.prod.website-files.com/5d8d029013ffd80bbb91320d/60634db8e001683398b23894_X-close.svg){kind=small}