Управление знаниями — это важный набор навыков, когда речь идет об оркестрации безопасности, автоматизации и реагировании (SOAR). Узнайте, почему правильный анализ безопасности, предотвращение и реагирование зависит от операционного искусства обмена знаниями, и как наша безопасность
В должности офицера по управлению рисками и соблюдением норм я уделяю время поддержанию наших опубликованных стандартов и контроля (безопасности, которые нам необходимо соблюдать), но также слежу за тем, как автоматизация и управление знаниями могут помочь в обеспечении «тактической безопасности». Отраслевой термин для этой практики — «Оркестрация безопасности, автоматизация и реагирование» (SOAR), но сама по себе автоматизация не всегда приводит к успешным результатам.
Например, когда магазины Target были известным образом взломаны в 2013 году, кибератака сработала, отчасти потому, что сотрудники службы безопасности не обратили внимания на сигнал машины, который был поглощен шумом их сенсоров безопасности. В конечном итоге взлом стоил компании 300 миллионов долларов и стал предостерегающей байкой о том, что может пойти не так, когда слишком много вводных данных вызывает путаницу.
Конечно, не каждая пропущенная алерт приводит к взлому масштаба Target. Меньшие атаки происходят ежедневно. На самом деле, по данным Индекса уязвимости, более четырех тысяч конфиденциальных записей компрометируется каждую минуту. Чтобы опередить эти инциденты, организации обычно используют «безопасный стек», чтобы отмечать необычное поведение или возможные вторжения в их сеть. За этим стеком следит основная команда сотрудников или полноценный Центр операций безопасности (SOC), и все чаще эти команды получают помощь от приложений SOAR для отделения цифрового мусора и действий с тем, что реально. Новые поставщики SOAR появляются на рынке, при этом Gartner сообщает о более чем дюжине отдельных компаний в области SOAR.
Тем не менее, эти блестящие, готовые к работе приложения SOAR не создают и не заполняют базу знаний самостоятельно, места, где аналитики могут найти действенную, повторяемую информацию для решения инцидентов в своей среде. Эта операция требует, чтобы сотрудники SOC выбрались из капкана знаний и документировали конкретные процедуры для более широкой команды.
Документация особенно трудна в мире SOC, так как темп мешает созданию и постоянному поддержанию сценариев и процедур. Но отказывать в этом шаге не вариант. Пишет один безопасностный блогер: «Без сценариев аналитики склонны полагаться на свою интуицию — что может быть эффективно для конкретного человека, но оставляет всю команду на милость знаний, существующих в уме этого аналитика».
Что же делать перегруженному аналитикам безопасности?
Безопасность, встретив управление знаниями
Ответ заключается в доброй старой практике управления знаниями, которая является не просто дополнительным заданием в загруженном SOC, но и необходимым набором навыков. На примере, Рамка NIST по cybersecurity workforce перечисляет управление знаниями как основную компетенцию среди сотрудников безопасности. Это включает в себя владение в создании контента, управлении совместными инструментами и общей способности «идентифицировать, документировать и получать доступ к интеллектуальной собственности и информации».
Отраслевые эксперты согласны, что база знаний является огромным множителем силы в SOC. В своем статья, «Увеличение IQ-уровней SOC с помощью передачи знаний», Майк Фаулер подчеркивает конкретную необходимость создания хранилища контента, к которому все могут получить доступ и легко поддерживать:
«Реализация автоматизированного подхода с использованием централизованной базы данных и структурированных сценариев обеспечит процессы передачи знаний, которые являются повторяемыми, непротиворечивыми и последовательными».
Одним из примеров того, как SOAR и сценарии объединяются, может быть случай, когда машинный сигнал предупреждает сотрудников безопасности о том, что большое количество данных покидает организацию, направляясь на неизвестный сайт. Аналитик или выделенный ответчик реагирует на тревогу и блокирует сайт от получения любых дополнительных данных компании, но это всего лишь первый шаг в том, что должно быть серией человеческих действий, чтобы понять масштаб инцидента и оценить его последствия. Сценарий может указать: «Посмотрите адрес сервера и домен загрузочного сайта», за которым следует: «Проверьте сетевые журналы и найдите любые предыдущие загрузки на этот сервер».
Выполняя эти действия, ответчик инцидента в конечном итоге собирает воедино информацию о том, как, что, когда и где, чтобы руководство можно было информировать и действовать соответственно (что, вероятно, вызвало бы собственный сценарий).
Почему управление знаниями должно быть частью вашего безопасного стека
Несмотря на то, что сегодняшние инструменты SOAR могут помочь выявить индикаторы угроз и подготовить их для человеческих аналитиков, обычно бывает так, что инструменты сами по себе недостаточны для реагирования на инциденты и их последующего разрешения.
Правильный анализ безопасности, предотвращение и реагирование по-прежнему зависят от людей и вечного операционного искусства обмена знаниями.
Персоналом безопасности слишком мало и времени недостаточно, чтобы импровизировать в каждом новом инциденте. Легко доступные, обновляемые, повторяемые сценарии — это основной камень для более умной работы в среде, которая всегда потенциально под угрозой атаки.
В должности офицера по управлению рисками и соблюдением норм я уделяю время поддержанию наших опубликованных стандартов и контроля (безопасности, которые нам необходимо соблюдать), но также слежу за тем, как автоматизация и управление знаниями могут помочь в обеспечении «тактической безопасности». Отраслевой термин для этой практики — «Оркестрация безопасности, автоматизация и реагирование» (SOAR), но сама по себе автоматизация не всегда приводит к успешным результатам.
Например, когда магазины Target были известным образом взломаны в 2013 году, кибератака сработала, отчасти потому, что сотрудники службы безопасности не обратили внимания на сигнал машины, который был поглощен шумом их сенсоров безопасности. В конечном итоге взлом стоил компании 300 миллионов долларов и стал предостерегающей байкой о том, что может пойти не так, когда слишком много вводных данных вызывает путаницу.
Конечно, не каждая пропущенная алерт приводит к взлому масштаба Target. Меньшие атаки происходят ежедневно. На самом деле, по данным Индекса уязвимости, более четырех тысяч конфиденциальных записей компрометируется каждую минуту. Чтобы опередить эти инциденты, организации обычно используют «безопасный стек», чтобы отмечать необычное поведение или возможные вторжения в их сеть. За этим стеком следит основная команда сотрудников или полноценный Центр операций безопасности (SOC), и все чаще эти команды получают помощь от приложений SOAR для отделения цифрового мусора и действий с тем, что реально. Новые поставщики SOAR появляются на рынке, при этом Gartner сообщает о более чем дюжине отдельных компаний в области SOAR.
Тем не менее, эти блестящие, готовые к работе приложения SOAR не создают и не заполняют базу знаний самостоятельно, места, где аналитики могут найти действенную, повторяемую информацию для решения инцидентов в своей среде. Эта операция требует, чтобы сотрудники SOC выбрались из капкана знаний и документировали конкретные процедуры для более широкой команды.
Документация особенно трудна в мире SOC, так как темп мешает созданию и постоянному поддержанию сценариев и процедур. Но отказывать в этом шаге не вариант. Пишет один безопасностный блогер: «Без сценариев аналитики склонны полагаться на свою интуицию — что может быть эффективно для конкретного человека, но оставляет всю команду на милость знаний, существующих в уме этого аналитика».
Что же делать перегруженному аналитикам безопасности?
Безопасность, встретив управление знаниями
Ответ заключается в доброй старой практике управления знаниями, которая является не просто дополнительным заданием в загруженном SOC, но и необходимым набором навыков. На примере, Рамка NIST по cybersecurity workforce перечисляет управление знаниями как основную компетенцию среди сотрудников безопасности. Это включает в себя владение в создании контента, управлении совместными инструментами и общей способности «идентифицировать, документировать и получать доступ к интеллектуальной собственности и информации».
Отраслевые эксперты согласны, что база знаний является огромным множителем силы в SOC. В своем статья, «Увеличение IQ-уровней SOC с помощью передачи знаний», Майк Фаулер подчеркивает конкретную необходимость создания хранилища контента, к которому все могут получить доступ и легко поддерживать:
«Реализация автоматизированного подхода с использованием централизованной базы данных и структурированных сценариев обеспечит процессы передачи знаний, которые являются повторяемыми, непротиворечивыми и последовательными».
Одним из примеров того, как SOAR и сценарии объединяются, может быть случай, когда машинный сигнал предупреждает сотрудников безопасности о том, что большое количество данных покидает организацию, направляясь на неизвестный сайт. Аналитик или выделенный ответчик реагирует на тревогу и блокирует сайт от получения любых дополнительных данных компании, но это всего лишь первый шаг в том, что должно быть серией человеческих действий, чтобы понять масштаб инцидента и оценить его последствия. Сценарий может указать: «Посмотрите адрес сервера и домен загрузочного сайта», за которым следует: «Проверьте сетевые журналы и найдите любые предыдущие загрузки на этот сервер».
Выполняя эти действия, ответчик инцидента в конечном итоге собирает воедино информацию о том, как, что, когда и где, чтобы руководство можно было информировать и действовать соответственно (что, вероятно, вызвало бы собственный сценарий).
Почему управление знаниями должно быть частью вашего безопасного стека
Несмотря на то, что сегодняшние инструменты SOAR могут помочь выявить индикаторы угроз и подготовить их для человеческих аналитиков, обычно бывает так, что инструменты сами по себе недостаточны для реагирования на инциденты и их последующего разрешения.
Правильный анализ безопасности, предотвращение и реагирование по-прежнему зависят от людей и вечного операционного искусства обмена знаниями.
Персоналом безопасности слишком мало и времени недостаточно, чтобы импровизировать в каждом новом инциденте. Легко доступные, обновляемые, повторяемые сценарии — это основной камень для более умной работы в среде, которая всегда потенциально под угрозой атаки.
