Kunskapshantering är en väsentlig kompetens när det handlar om säkerhetsorkestrering, automatisering och svar (SOAR). Läs varför korrekt säkerhetsanalys, förebyggande och svar beror på den operationella konsten att dela kunskap, och hur vår säkerhet
Som Gurus Risk- och Nachsikringsansvarig lägger jag tid på att underhålla våra publicerade standarder och kontroller (säkerhetsrutiner vi behöver följa), men jag håller också ett öga på hur automatisering och kunskapshantering kan möjliggöra "taktisk säkerhet." Branschens term för denna praxis är "Security Orchestration, Automation and Response" (SOAR), men automatisering ger inte alltid framgångsrika resultat på egen hand.
Till exempel, när Target-butikerna blev berömda för att ha blivit hackade 2013, fungerade cyberattacken delvis, eftersom säkerhetspersonalen missade en maskinalert som hade blivit begravd i bruset från deras säkerhetssensorer. Äventyret kostade slutligen företaget 300 miljoner dollar och fungerade som en varning om vad som kan gå fel när för många uppgifter orsakar förvirring.
Självklart leder inte varje missad alert till en händelse av Target-storlek. Mindre attacker inträffar dagligen. I själva verket, enligt Breach Level Index, komprometteras över fyratusen känsliga registreringar varje minut. För att stanna steget före dessa incidenter anställer organisationer vanligtvis en "säkerhetsstack" för att flagga okonventionellt beteende eller möjliga intrång mot deras nätverk. Denna stack övervakas av ett kärnteam med personal eller ett fullt operativt Security Operations Center (SOC), och allt fler av dessa team får hjälp av SOAR-applikationer för att sortera ut digitalt skräp och agera på vad som är verkligt. Nya SOAR-leverantörer dyker upp i landskapet, med Gartner som rapporterar om mer än ett dussin separata företag inom SOAR-området.
Ändå skapar dessa blanka, nyckelfärdiga SOAR-applikationer inte och befolkar en kunskapsbas på egen hand, en plats där analytiker kan hitta handlingsbara, upprepningsbara uppgifter för att hantera incidenter inom sin miljö. Denna operationella praxis kräver att SOC-personal bryter sig loss från kunskapsfällan och dokumenterar konkreta procedurer för det bredare teamet.
Dokumentation är särskilt svår inom SOC-världen, eftersom tempot hindrar skapandet och det pågående underhållet av spelböcker och procedurer. Men att skippa detta steg är inte ett alternativ. En säkerhetsbloggare skriver: "Utan spelböcker tenderar analytiker att återgå till sin magkänsla — vilket kanske är effektivt för individen, men det lämnar hela teamet i händerna på den kunskap som finns inom den analytikerns sinne."
Så vad ska en stressad säkerhetsanalytiker göra?
Säkerhet, möt kunskapshantering
Svaret kommer i form av gammaldags kunskapshantering, vilket inte bara är en ytterligare uppgift inom ett upptaget SOC, utan är en väsentlig kompetens. Ett exempel är NIST Cybersecurity Workforce Framework som listar kunskapshantering som en kärnkompetens bland säkerhetspersonal. Detta inkluderar kompetens inom innehållsskapande, hantering av samarbetsverktyg och den allmänna förmågan att "identifiera, dokumentera och få tillgång till intellektuell kapital och informationsinnehåll."
Branschexperter är överens om att en kunskapsbas är en stor kraftmultiplikator inom SOC. I sin artikel "Boosting SOC IQ Levels with Knowledge Transfer" nämner Mike Fowler det specifika kravet på ett innehållsarkiv som alla kan få tillgång till och lätt underhålla:
"Att implementera en automatiserad strategi med hjälp av en centraliserad databas och strukturerade spelböcker kommer att säkerställa att kunskapsöverföringsprocesser är upprepningsbara, försvarbara och konsekventa."
Ett exempel på hur SOAR och spelböcker går samman kan vara när en maskinalert informerar säkerhetspersonal om att en stor mängd data lämnar organisationen, som strömmar ut till en okänd webbplats. Analytikern eller dedikerad åtgärdspersoner agerar utifrån alerten och blockerar webbplatsen från att ta emot mer företagsdata, men detta är bara det första steget i vad som borde vara en serie av mänskliga åtgärder för att förstå omfånget av incidenten och bedöma påverkan. Spelboken kan säga: "Sök upp serveradressen och domänen för nedladdningssidan," följt av: "Sök i nätverksloggar och hitta eventuella tidigare nedladdningar till den servern."
Genom att utföra dessa åtgärder sätter incidentåtgärdspersonen i slutändan ihop hur, vad, när och var pusslet så att ledningen kan informeras och agera därefter (vilket sannolikt skulle inbjuda sin egen spelbok).
Varför kunskapshantering bör vara en del av din säkerhetsstack
Även om dagens SOAR-verktyg kan hjälpa till att sortera ut hotindikatorer och förbereda dem för mänskliga analytiker, är det vanligtvis fallet att verktyg på egen hand inte räcker för att svara på incidenter och följa upp dem till lösning.
Korrekt säkerhetsanalys, förebyggande och svar beror fortfarande på människor och den tidlösa operationella konsten att dela kunskap.
Säkerhetspersonal är alldeles för sällsynta och tidsbegränsade för att improvisera sin framfart genom varje ny incident. Lättillgängliga, uppdaterade, upprepningsbara spelböcker är hörnstenen för att arbeta smartare i en miljö som alltid kan vara under attack.
Som Gurus Risk- och Nachsikringsansvarig lägger jag tid på att underhålla våra publicerade standarder och kontroller (säkerhetsrutiner vi behöver följa), men jag håller också ett öga på hur automatisering och kunskapshantering kan möjliggöra "taktisk säkerhet." Branschens term för denna praxis är "Security Orchestration, Automation and Response" (SOAR), men automatisering ger inte alltid framgångsrika resultat på egen hand.
Till exempel, när Target-butikerna blev berömda för att ha blivit hackade 2013, fungerade cyberattacken delvis, eftersom säkerhetspersonalen missade en maskinalert som hade blivit begravd i bruset från deras säkerhetssensorer. Äventyret kostade slutligen företaget 300 miljoner dollar och fungerade som en varning om vad som kan gå fel när för många uppgifter orsakar förvirring.
Självklart leder inte varje missad alert till en händelse av Target-storlek. Mindre attacker inträffar dagligen. I själva verket, enligt Breach Level Index, komprometteras över fyratusen känsliga registreringar varje minut. För att stanna steget före dessa incidenter anställer organisationer vanligtvis en "säkerhetsstack" för att flagga okonventionellt beteende eller möjliga intrång mot deras nätverk. Denna stack övervakas av ett kärnteam med personal eller ett fullt operativt Security Operations Center (SOC), och allt fler av dessa team får hjälp av SOAR-applikationer för att sortera ut digitalt skräp och agera på vad som är verkligt. Nya SOAR-leverantörer dyker upp i landskapet, med Gartner som rapporterar om mer än ett dussin separata företag inom SOAR-området.
Ändå skapar dessa blanka, nyckelfärdiga SOAR-applikationer inte och befolkar en kunskapsbas på egen hand, en plats där analytiker kan hitta handlingsbara, upprepningsbara uppgifter för att hantera incidenter inom sin miljö. Denna operationella praxis kräver att SOC-personal bryter sig loss från kunskapsfällan och dokumenterar konkreta procedurer för det bredare teamet.
Dokumentation är särskilt svår inom SOC-världen, eftersom tempot hindrar skapandet och det pågående underhållet av spelböcker och procedurer. Men att skippa detta steg är inte ett alternativ. En säkerhetsbloggare skriver: "Utan spelböcker tenderar analytiker att återgå till sin magkänsla — vilket kanske är effektivt för individen, men det lämnar hela teamet i händerna på den kunskap som finns inom den analytikerns sinne."
Så vad ska en stressad säkerhetsanalytiker göra?
Säkerhet, möt kunskapshantering
Svaret kommer i form av gammaldags kunskapshantering, vilket inte bara är en ytterligare uppgift inom ett upptaget SOC, utan är en väsentlig kompetens. Ett exempel är NIST Cybersecurity Workforce Framework som listar kunskapshantering som en kärnkompetens bland säkerhetspersonal. Detta inkluderar kompetens inom innehållsskapande, hantering av samarbetsverktyg och den allmänna förmågan att "identifiera, dokumentera och få tillgång till intellektuell kapital och informationsinnehåll."
Branschexperter är överens om att en kunskapsbas är en stor kraftmultiplikator inom SOC. I sin artikel "Boosting SOC IQ Levels with Knowledge Transfer" nämner Mike Fowler det specifika kravet på ett innehållsarkiv som alla kan få tillgång till och lätt underhålla:
"Att implementera en automatiserad strategi med hjälp av en centraliserad databas och strukturerade spelböcker kommer att säkerställa att kunskapsöverföringsprocesser är upprepningsbara, försvarbara och konsekventa."
Ett exempel på hur SOAR och spelböcker går samman kan vara när en maskinalert informerar säkerhetspersonal om att en stor mängd data lämnar organisationen, som strömmar ut till en okänd webbplats. Analytikern eller dedikerad åtgärdspersoner agerar utifrån alerten och blockerar webbplatsen från att ta emot mer företagsdata, men detta är bara det första steget i vad som borde vara en serie av mänskliga åtgärder för att förstå omfånget av incidenten och bedöma påverkan. Spelboken kan säga: "Sök upp serveradressen och domänen för nedladdningssidan," följt av: "Sök i nätverksloggar och hitta eventuella tidigare nedladdningar till den servern."
Genom att utföra dessa åtgärder sätter incidentåtgärdspersonen i slutändan ihop hur, vad, när och var pusslet så att ledningen kan informeras och agera därefter (vilket sannolikt skulle inbjuda sin egen spelbok).
Varför kunskapshantering bör vara en del av din säkerhetsstack
Även om dagens SOAR-verktyg kan hjälpa till att sortera ut hotindikatorer och förbereda dem för mänskliga analytiker, är det vanligtvis fallet att verktyg på egen hand inte räcker för att svara på incidenter och följa upp dem till lösning.
Korrekt säkerhetsanalys, förebyggande och svar beror fortfarande på människor och den tidlösa operationella konsten att dela kunskap.
Säkerhetspersonal är alldeles för sällsynta och tidsbegränsade för att improvisera sin framfart genom varje ny incident. Lättillgängliga, uppdaterade, upprepningsbara spelböcker är hörnstenen för att arbeta smartare i en miljö som alltid kan vara under attack.
