Zarządzanie wiedzą jest kluczowym zestawem umiejętności, jeśli chodzi o orkiestrację bezpieczeństwa, automatyzację i reakcję (SOAR). Przeczytaj, dlaczego odpowiednia analiza bezpieczeństwa, zapobieganie i reakcja zależą od operacyjnej sztuki dzielenia się wiedzą oraz jak nasza bezpieczeństwo.
Jako oficer ds. ryzyka i zgodności w Guru, spędzam czas na utrzymaniu naszych standardów i kontroli (rzeczy związane z bezpieczeństwem, które musimy zrobić), ale również zwracam uwagę na to, jak automatyzacja i zarządzanie wiedzą mogą umożliwić "takticzne bezpieczeństwo." Termin używany w branży na tę praktykę to "Orkiestracja bezpieczeństwa, automatyzacja i reakcja" (SOAR), ale sama automatyzacja nie zawsze przynosi sukcesy.
Na przykład, gdy sklepy Target były słynnie naruszone w 2013 roku, atak cybernetyczny był skuteczny częściowo dlatego, że pracownicy bezpieczeństwa zignorowali alert maszyny, który został pogrzebany w chmurze ich monitorów bezpieczeństwa. Naruszenie ostatecznie kosztowało firmę 300 milionów dolarów i stanowiło przestrogę tego, co może pójść nie tak, gdy zbyt wiele danych powoduje zamieszanie.
Oczywiście, nie każdy zignorowany alert prowadzi do naruszenia na skalę Target. Mniejsze ataki mają miejsce codziennie. W rzeczywistości, według Breach Level Index, co minutę kompromitowanych jest ponad cztery tysiące wrażliwych rekordów. Aby być na bieżąco z tymi incydentami, organizacje zazwyczaj korzystają z "staku bezpieczeństwa" do oznaczania nietypowego zachowania lub możliwych włamań do swojej sieci. Ten stos jest monitorowany przez podstawowy zespół pracowników lub w pełni wyposażone Centrum Operacji Bezpieczeństwa (SOC), a coraz częściej te zespoły są wspierane przez aplikacje SOAR w poszukiwaniu cyfrowego ziarna i działania na tym, co jest rzeczywiste. Nowi dostawcy SOAR pojawiają się w krajobrazie, a Gartner informuje o ponad tuzinie oddzielnych firm w obszarze SOAR.
Jednak te błyszczące, gotowe aplikacje SOAR nie tworzą i nie wypełniają bazy wiedzy same, miejsca, gdzie analitycy mogą znaleźć wykorzystujące wyczerpujące, powtarzalne informacje, aby radzić sobie z incydentami w ich środowisku. Ta praktyka operacyjna wymaga, aby personel SOC uwolnił się od pułapki wiedzy i dokumentował konkretne procedury dla szerszego zespołu.
Dokumentacja jest szczególnie trudna w świecie SOC, ponieważ tempo ogranicza tworzenie i bieżące utrzymanie podręczników i procedur. Jednak zlekceważenie tego kroku nie jest opcją. Pisze jeden bloger o bezpieczeństwie: "Bez podręczników analitycy mają tendencję do polegania na intuicji – co może być skuteczne dla jednostki, ale zostawia cały zespół na łasce wiedzy, która istnieje w umyśle tego analityka."
Co ma zrobić zestresowany analityk bezpieczeństwa?
Bezpieczeństwo, poznaj zarządzanie wiedzą
Odpowiedź przychodzi dzięki dobremu, staroświeckiemu zarządzaniu wiedzą, które nie jest tylko dodatkowym obowiązkiem w zajętym SOC, ale kluczowym zestawem umiejętności. Na przykład, NIST Cybersecurity Workforce Framework wymienia zarządzanie wiedzą jako podstawową ekspertyzę wśród pracowników bezpieczeństwa. Obejmuje to biegłość w tworzeniu treści, zarządzaniu narzędziami współpracy oraz ogólną zdolność do "identyfikowania, dokumentowania i uzyskiwania dostępu do kapitału intelektualnego i treści informacyjnej."
Eksperci branżowi zgadzają się, że baza wiedzy jest ogromnym mnożnikiem siły w SOC. W swoim artykuł "Zwiększenie poziomów IQ SOC dzięki transferowi wiedzy," Mike Fowler wskazuje na konkretne wymagania dotyczące sklepu z treściami, do którego wszyscy mogą mieć dostęp i który można łatwo utrzymać:
"Wdrażanie zautomatyzowanego podejścia przy użyciu scentralizowanej bazy danych i ustrukturyzowanych podręczników zapewni, że procesy transferu wiedzy będą powtarzalne, obronne i spójne."
Jeden przykład tego, jak SOAR i podręczniki współdziałają, może polegać na tym, że alert maszyny informuje personel bezpieczeństwa, że duża ilość danych opuszcza organizację, kierując się do nieznanej strony. Analityk lub dedykowany responder podejmuje działania w odpowiedzi na alert i blokuje stronę przed otrzymywaniem dodatkowych danych firmowych, ale to tylko pierwszy krok w tym, co powinno być serią działań ludzkich mających na celu zrozumienie zakresu incydentu i oceny skutków. Podręcznik może powiedzieć: "Sprawdź adres serwera i domenę strony pobierania," a następnie, "Sprawdź dzienniki sieciowe i zlokalizuj wszelkie wcześniejsze pobrania na ten serwer."
Wykonując te działania, responder incydentów ostatecznie składa razem układ jak, co, kiedy i gdzie, aby kierownictwo mogło zostać poinformowane i postępować zgodnie z tym (co prawdopodobnie spowoduje uruchomienie własnego podręcznika).
Dlaczego zarządzanie wiedzą powinno być częścią twojego staku bezpieczeństwa
Chociaż dzisiejsze narzędzia SOAR mogą pomagać w wykrywaniu wskaźników zagrożeń i przygotowywaniu ich dla ludzkich analityków, zazwyczaj bywa tak, że narzędzia same w sobie nie są wystarczające do reakcjonowania na incydenty i prowadzenia ich aż do rozwiązania.
Odpowiednia analiza bezpieczeństwa, zapobieganie i reakcja wciąż zależą od ludzi i ponadczasowej sztuki operacyjnej dzielenia się wiedzą.
Personel bezpieczeństwa jest zbyt nieliczny i ograniczony czasowo, aby improwizować w przypadku każdego nowego incydentu. Łatwo dostępne, aktualizowane i powtarzalne podręczniki są kamieniem węgielnym dla pracy w sposób bardziej inteligentny w środowisku, które zawsze może być potencjalnie zagrożone.
Jako oficer ds. ryzyka i zgodności w Guru, spędzam czas na utrzymaniu naszych standardów i kontroli (rzeczy związane z bezpieczeństwem, które musimy zrobić), ale również zwracam uwagę na to, jak automatyzacja i zarządzanie wiedzą mogą umożliwić "takticzne bezpieczeństwo." Termin używany w branży na tę praktykę to "Orkiestracja bezpieczeństwa, automatyzacja i reakcja" (SOAR), ale sama automatyzacja nie zawsze przynosi sukcesy.
Na przykład, gdy sklepy Target były słynnie naruszone w 2013 roku, atak cybernetyczny był skuteczny częściowo dlatego, że pracownicy bezpieczeństwa zignorowali alert maszyny, który został pogrzebany w chmurze ich monitorów bezpieczeństwa. Naruszenie ostatecznie kosztowało firmę 300 milionów dolarów i stanowiło przestrogę tego, co może pójść nie tak, gdy zbyt wiele danych powoduje zamieszanie.
Oczywiście, nie każdy zignorowany alert prowadzi do naruszenia na skalę Target. Mniejsze ataki mają miejsce codziennie. W rzeczywistości, według Breach Level Index, co minutę kompromitowanych jest ponad cztery tysiące wrażliwych rekordów. Aby być na bieżąco z tymi incydentami, organizacje zazwyczaj korzystają z "staku bezpieczeństwa" do oznaczania nietypowego zachowania lub możliwych włamań do swojej sieci. Ten stos jest monitorowany przez podstawowy zespół pracowników lub w pełni wyposażone Centrum Operacji Bezpieczeństwa (SOC), a coraz częściej te zespoły są wspierane przez aplikacje SOAR w poszukiwaniu cyfrowego ziarna i działania na tym, co jest rzeczywiste. Nowi dostawcy SOAR pojawiają się w krajobrazie, a Gartner informuje o ponad tuzinie oddzielnych firm w obszarze SOAR.
Jednak te błyszczące, gotowe aplikacje SOAR nie tworzą i nie wypełniają bazy wiedzy same, miejsca, gdzie analitycy mogą znaleźć wykorzystujące wyczerpujące, powtarzalne informacje, aby radzić sobie z incydentami w ich środowisku. Ta praktyka operacyjna wymaga, aby personel SOC uwolnił się od pułapki wiedzy i dokumentował konkretne procedury dla szerszego zespołu.
Dokumentacja jest szczególnie trudna w świecie SOC, ponieważ tempo ogranicza tworzenie i bieżące utrzymanie podręczników i procedur. Jednak zlekceważenie tego kroku nie jest opcją. Pisze jeden bloger o bezpieczeństwie: "Bez podręczników analitycy mają tendencję do polegania na intuicji – co może być skuteczne dla jednostki, ale zostawia cały zespół na łasce wiedzy, która istnieje w umyśle tego analityka."
Co ma zrobić zestresowany analityk bezpieczeństwa?
Bezpieczeństwo, poznaj zarządzanie wiedzą
Odpowiedź przychodzi dzięki dobremu, staroświeckiemu zarządzaniu wiedzą, które nie jest tylko dodatkowym obowiązkiem w zajętym SOC, ale kluczowym zestawem umiejętności. Na przykład, NIST Cybersecurity Workforce Framework wymienia zarządzanie wiedzą jako podstawową ekspertyzę wśród pracowników bezpieczeństwa. Obejmuje to biegłość w tworzeniu treści, zarządzaniu narzędziami współpracy oraz ogólną zdolność do "identyfikowania, dokumentowania i uzyskiwania dostępu do kapitału intelektualnego i treści informacyjnej."
Eksperci branżowi zgadzają się, że baza wiedzy jest ogromnym mnożnikiem siły w SOC. W swoim artykuł "Zwiększenie poziomów IQ SOC dzięki transferowi wiedzy," Mike Fowler wskazuje na konkretne wymagania dotyczące sklepu z treściami, do którego wszyscy mogą mieć dostęp i który można łatwo utrzymać:
"Wdrażanie zautomatyzowanego podejścia przy użyciu scentralizowanej bazy danych i ustrukturyzowanych podręczników zapewni, że procesy transferu wiedzy będą powtarzalne, obronne i spójne."
Jeden przykład tego, jak SOAR i podręczniki współdziałają, może polegać na tym, że alert maszyny informuje personel bezpieczeństwa, że duża ilość danych opuszcza organizację, kierując się do nieznanej strony. Analityk lub dedykowany responder podejmuje działania w odpowiedzi na alert i blokuje stronę przed otrzymywaniem dodatkowych danych firmowych, ale to tylko pierwszy krok w tym, co powinno być serią działań ludzkich mających na celu zrozumienie zakresu incydentu i oceny skutków. Podręcznik może powiedzieć: "Sprawdź adres serwera i domenę strony pobierania," a następnie, "Sprawdź dzienniki sieciowe i zlokalizuj wszelkie wcześniejsze pobrania na ten serwer."
Wykonując te działania, responder incydentów ostatecznie składa razem układ jak, co, kiedy i gdzie, aby kierownictwo mogło zostać poinformowane i postępować zgodnie z tym (co prawdopodobnie spowoduje uruchomienie własnego podręcznika).
Dlaczego zarządzanie wiedzą powinno być częścią twojego staku bezpieczeństwa
Chociaż dzisiejsze narzędzia SOAR mogą pomagać w wykrywaniu wskaźników zagrożeń i przygotowywaniu ich dla ludzkich analityków, zazwyczaj bywa tak, że narzędzia same w sobie nie są wystarczające do reakcjonowania na incydenty i prowadzenia ich aż do rozwiązania.
Odpowiednia analiza bezpieczeństwa, zapobieganie i reakcja wciąż zależą od ludzi i ponadczasowej sztuki operacyjnej dzielenia się wiedzą.
Personel bezpieczeństwa jest zbyt nieliczny i ograniczony czasowo, aby improwizować w przypadku każdego nowego incydentu. Łatwo dostępne, aktualizowane i powtarzalne podręczniki są kamieniem węgielnym dla pracy w sposób bardziej inteligentny w środowisku, które zawsze może być potencjalnie zagrożone.
