Kennisbeheer is een essentiële vaardigheid als het gaat om beveiligingsorkestratie, automatisering en reactie (SOAR). Lees waarom goede beveiligingsanalyse, preventie en reactie afhankelijk zijn van de operationele kunst van kennisdeling, en hoe ons beveiliging
Als Guru's Risk and Compliance Officer besteed ik tijd aan het onderhoud van onze geposte normen en controles (beveiligingszaken die we moeten doen), maar ik houd ook in de gaten hoe automatisering en kennisbeheer "tactische beveiliging" kunnen mogelijk maken. De industriële term voor deze praktijk is “Security Orchestration, Automation and Response” (SOAR), maar op zichzelf zorgt automatisering niet altijd voor succesvolle resultaten.
Bijvoorbeeld, toen de Target-winkels beroemd werden gekraakt in 2013, werkte de cyberaanval, voor een deel, omdat het beveiligingspersoneel een machine-alarm over het hoofd had gezien dat begraven was in de ruis van hun beveiligingssensorfeeds. De inbraak heeft uiteindelijk het bedrijf $300 miljoen gekost en diende als een waarschuwend verhaal over wat er mis kan gaan wanneer te veel invoer verwarring veroorzaakt.
Natuurlijk leidt niet elke gemiste melding tot een inbraak van Target-formaat. Kleinere aanvallen vinden dagelijks plaats. In feite worden volgens de Breach Level Index elke minuut meer dan vierduizend gevoelige records gecompromitteerd. Om deze incidenten voor te blijven, maken organisaties meestal gebruik van een “security stack” om ongebruikelijk gedrag of mogelijke inbraken tegen hun netwerk te signaleren. Deze stack wordt in de gaten gehouden door een kernteam van personeel of een volledig beveiligingsoperatiecentrum (SOC), en steeds meer worden deze teams geholpen door SOAR-toepassingen om het digitale kaf van het koren te scheiden en te handelen op wat echt is. Nieuwe SOAR-leveranciers verschijnen in het landschap, waarbij Gartner rapporteert dat er meer dan een dozijn afzonderlijke bedrijven in de SOAR-sector zijn.
Toch creëren en vullen deze glanzende, kant-en-klare SOAR-toepassingen niet op eigen kracht een kennisdatabase, een plek waar analisten uitvoerbare, herhaalbare informatie kunnen vinden om incidenten binnen hun omgeving aan te pakken. Deze operationele praktijk vereist dat SOC-personeel uit de kennisvalkuil breekt en concrete procedures documenteert voor het bredere team.
Documentatie is bijzonder moeilijk in de SOC-wereld, omdat het tempo de creatie en het voortdurende onderhoud van playbooks en procedures belemmert. Maar deze stap negeren is geen optie. Schrijft een beveiligingsblogger, “Zonder playbooks neigen analisten naar hun onderbuikgevoel - wat misschien effectief is voor het individu, maar het hele team op de genade laat van de kennis die zich binnen dat analystenbrein bevindt.”
Wat moet een gehaaste beveiligingsanalist doen?
Beveiliging, ontmoet kennisbeheer
Het antwoord komt via goed oud-fashioned kennisbeheer, wat niet alleen een aanvullende taak binnen een drukke SOC is, maar een essentiële vaardigheidsset. Het NIST Cybersecurity Workforce Framework beschrijft kennisbeheer als een centrale expertise onder beveiligingspersoneel. Dit omvat bekwaamheid in contentcreatie, samenwerkingstoolbeheer en het algemene vermogen om “intellectueel kapitaal en informatie-inhoud te identificeren, documenteren en toegankelijk te maken.”
Industrie-experts zijn het erover eens dat een kennisdatabase een enorme krachtvermenigvuldiger binnen de SOC is. In zijn artikel “Boosting SOC IQ Levels with Knowledge Transfer,” benadrukt Mike Fowler de specifieke vereiste voor een contentopslag die iedereen kan benaderen en gemakkelijk kan onderhouden:
“Een geautomatiseerde benadering implementeren met behulp van een gecentraliseerde database en gestructureerde playbooks zal ervoor zorgen dat kennisoverdrachtprocessen herhaalbaar, afdwingbaar en consistent zijn.”
Een voorbeeld van hoe SOAR en playbooks samenkomen, kan zijn dat een machine-alarm het beveiligingspersoneel vertelt dat een grote hoeveelheid gegevens de organisatie verlaat en naar een onbekende site stroomt. De analist of speciale responder handelt op de melding en blokkeert de site om verdere bedrijfsgegevens te ontvangen, maar dit is slechts de eerste stap in wat een reeks menselijke acties zou moeten zijn om de omvang van het incident te begrijpen en de impact te beoordelen. Het playbook kan zeggen: “Zoek het serveradres en domein van de downloadsite op”, gevolgd door: “Zoek netwerklogs en locate eventuele eerdere downloads naar die server.”
Door deze acties uit te voeren, legt de incident-responder uiteindelijk de puzzel van hoe, wat, wanneer en waar, zodat het management geïnformeerd kan worden en dienovereenkomstig kan handelen (wat waarschijnlijk zijn eigen playbook zou uitlokken).
Waarom kennisbeheer onderdeel zou moeten zijn van je beveiligingsstack
Hoewel de huidige SOAR-tools kunnen helpen om dreigingsindicatoren te lokaliseren en deze voor menselijke analisten op te stellen, is het meestal het geval dat tools op zichzelf niet genoeg zijn om op incidenten te reageren en ze door te volgen naar een oplossing.
Een goede beveiligingsanalyse, preventie en reactie hangen nog steeds af van mensen en de tijdloze operationele kunst van kennisdeling.
Beveiligingspersoneel is veel te schaars en tijdsgebonden om hun weg door elk nieuw incident ad-lib te zijn. Direct toegankelijke, bijgewerkte, herhaalbare playbooks zijn de hoeksteen voor slimmer werken in een omgeving die altijd potentieel onder aanval staat.
Als Guru's Risk and Compliance Officer besteed ik tijd aan het onderhoud van onze geposte normen en controles (beveiligingszaken die we moeten doen), maar ik houd ook in de gaten hoe automatisering en kennisbeheer "tactische beveiliging" kunnen mogelijk maken. De industriële term voor deze praktijk is “Security Orchestration, Automation and Response” (SOAR), maar op zichzelf zorgt automatisering niet altijd voor succesvolle resultaten.
Bijvoorbeeld, toen de Target-winkels beroemd werden gekraakt in 2013, werkte de cyberaanval, voor een deel, omdat het beveiligingspersoneel een machine-alarm over het hoofd had gezien dat begraven was in de ruis van hun beveiligingssensorfeeds. De inbraak heeft uiteindelijk het bedrijf $300 miljoen gekost en diende als een waarschuwend verhaal over wat er mis kan gaan wanneer te veel invoer verwarring veroorzaakt.
Natuurlijk leidt niet elke gemiste melding tot een inbraak van Target-formaat. Kleinere aanvallen vinden dagelijks plaats. In feite worden volgens de Breach Level Index elke minuut meer dan vierduizend gevoelige records gecompromitteerd. Om deze incidenten voor te blijven, maken organisaties meestal gebruik van een “security stack” om ongebruikelijk gedrag of mogelijke inbraken tegen hun netwerk te signaleren. Deze stack wordt in de gaten gehouden door een kernteam van personeel of een volledig beveiligingsoperatiecentrum (SOC), en steeds meer worden deze teams geholpen door SOAR-toepassingen om het digitale kaf van het koren te scheiden en te handelen op wat echt is. Nieuwe SOAR-leveranciers verschijnen in het landschap, waarbij Gartner rapporteert dat er meer dan een dozijn afzonderlijke bedrijven in de SOAR-sector zijn.
Toch creëren en vullen deze glanzende, kant-en-klare SOAR-toepassingen niet op eigen kracht een kennisdatabase, een plek waar analisten uitvoerbare, herhaalbare informatie kunnen vinden om incidenten binnen hun omgeving aan te pakken. Deze operationele praktijk vereist dat SOC-personeel uit de kennisvalkuil breekt en concrete procedures documenteert voor het bredere team.
Documentatie is bijzonder moeilijk in de SOC-wereld, omdat het tempo de creatie en het voortdurende onderhoud van playbooks en procedures belemmert. Maar deze stap negeren is geen optie. Schrijft een beveiligingsblogger, “Zonder playbooks neigen analisten naar hun onderbuikgevoel - wat misschien effectief is voor het individu, maar het hele team op de genade laat van de kennis die zich binnen dat analystenbrein bevindt.”
Wat moet een gehaaste beveiligingsanalist doen?
Beveiliging, ontmoet kennisbeheer
Het antwoord komt via goed oud-fashioned kennisbeheer, wat niet alleen een aanvullende taak binnen een drukke SOC is, maar een essentiële vaardigheidsset. Het NIST Cybersecurity Workforce Framework beschrijft kennisbeheer als een centrale expertise onder beveiligingspersoneel. Dit omvat bekwaamheid in contentcreatie, samenwerkingstoolbeheer en het algemene vermogen om “intellectueel kapitaal en informatie-inhoud te identificeren, documenteren en toegankelijk te maken.”
Industrie-experts zijn het erover eens dat een kennisdatabase een enorme krachtvermenigvuldiger binnen de SOC is. In zijn artikel “Boosting SOC IQ Levels with Knowledge Transfer,” benadrukt Mike Fowler de specifieke vereiste voor een contentopslag die iedereen kan benaderen en gemakkelijk kan onderhouden:
“Een geautomatiseerde benadering implementeren met behulp van een gecentraliseerde database en gestructureerde playbooks zal ervoor zorgen dat kennisoverdrachtprocessen herhaalbaar, afdwingbaar en consistent zijn.”
Een voorbeeld van hoe SOAR en playbooks samenkomen, kan zijn dat een machine-alarm het beveiligingspersoneel vertelt dat een grote hoeveelheid gegevens de organisatie verlaat en naar een onbekende site stroomt. De analist of speciale responder handelt op de melding en blokkeert de site om verdere bedrijfsgegevens te ontvangen, maar dit is slechts de eerste stap in wat een reeks menselijke acties zou moeten zijn om de omvang van het incident te begrijpen en de impact te beoordelen. Het playbook kan zeggen: “Zoek het serveradres en domein van de downloadsite op”, gevolgd door: “Zoek netwerklogs en locate eventuele eerdere downloads naar die server.”
Door deze acties uit te voeren, legt de incident-responder uiteindelijk de puzzel van hoe, wat, wanneer en waar, zodat het management geïnformeerd kan worden en dienovereenkomstig kan handelen (wat waarschijnlijk zijn eigen playbook zou uitlokken).
Waarom kennisbeheer onderdeel zou moeten zijn van je beveiligingsstack
Hoewel de huidige SOAR-tools kunnen helpen om dreigingsindicatoren te lokaliseren en deze voor menselijke analisten op te stellen, is het meestal het geval dat tools op zichzelf niet genoeg zijn om op incidenten te reageren en ze door te volgen naar een oplossing.
Een goede beveiligingsanalyse, preventie en reactie hangen nog steeds af van mensen en de tijdloze operationele kunst van kennisdeling.
Beveiligingspersoneel is veel te schaars en tijdsgebonden om hun weg door elk nieuw incident ad-lib te zijn. Direct toegankelijke, bijgewerkte, herhaalbare playbooks zijn de hoeksteen voor slimmer werken in een omgeving die altijd potentieel onder aanval staat.
