How Knowledge Management Makes Security SOAR
การจัดการความรู้เป็นทักษะที่สำคัญเมื่อพูดถึงการจัดการความปลอดภัย การอัตโนมัติ และการตอบสนอง (SOAR) อ่านเหตุผลว่าทำไมการวิเคราะห์ ประกาศ และตอบสนองความปลอดภัยที่เหมาะสมถึงขึ้นอยู่กับศิลปะการดำเนินงานของการแบ่งปันความรู้ และวิธีที่ทีมรักษาความปลอดภัยของเรา
ในฐานะที่เป็นเจ้าหน้าที่ด้านความเสี่ยงและการปฏิบัติตามข้อกำหนดของ Guru ฉันใช้เวลาในการดูแลมาตรฐานและการควบคุมที่เราได้เผยแพร่ (สิ่งที่เกี่ยวกับความปลอดภัยที่เราต้องทำ) แต่ฉันยังคอยจับตาดูว่าอัตโนมัติและการจัดการความรู้จะช่วยให้เกิด “ความปลอดภัยเชิงยุทธศาสตร์” ได้อย่างไร คำศัพท์ในอุตสาหกรรมสำหรับการปฏิบัตินี้คือ “Security Orchestration, Automation and Response” (SOAR) แต่เพียงแค่การใช้งานอัตโนมัติก็ไม่ได้สร้างผลลัพธ์ที่สำเร็จเสมอไป
ตัวอย่างเช่น เมื่อร้าน Target ถูก ถูกโจมตีอย่างมีชื่อเสียงในปี 2013ทำให้บริษัทเสียค่าใช้จ่าย $300 ล้าน และเป็นเรื่องที่เตือนใจเกี่ยวกับสิ่งที่อาจผิดพลาดเมื่อมีข้อมูลหลายอย่างทำให้เกิดความสับสน
แน่นอนว่า การแจ้งเตือนที่พลาดไปไม่ได้หมายความว่าจะเกิดการละเมิดในขนาดที่เท่ากับ Target เสมอไป การโจมตีขนาดเล็กเกิดขึ้นทุกวัน ในความเป็นจริง ตาม Breach Level Index มีบันทึกที่ละเอียดอ่อนกว่า 4,000 รายการถูกบุกรุกทุกนาที เพื่อให้ก้าวหน้ากว่ากรณีเหล่านี้ องค์กรมักจะใช้ “สแต็คความปลอดภัย” เพื่อวางธงพฤติกรรมที่ไม่ปกติหรือการบุกรุกที่เป็นไปได้ต่อเครือข่ายของพวกเขา สแต็คนี้จะถูกเฝ้าดูโดยทีมหลักของเจ้าหน้าที่หรือตัวศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) และทีมเหล่านี้กำลังได้รับความช่วยเหลือมากขึ้นจากแอพพลิเคชั่น SOAR เพื่อช่วยเฟ้นหาสิ่งที่ไม่เกี่ยวข้องและดำเนินการกับสิ่งที่เป็นจริง ผู้ขาย SOAR ใหม่กำลังปรากฏขึ้นทั่วภูมิทัศน์ โดย Gartner รายงานว่ามีบริษัทแยกต่างหากมากกว่าหนึ่งโหลในพื้นที่ SOAR
แต่แอพพลิเคชั่น SOAR ที่ดูดีเหล่านี้ไม่สามารถสร้างและจัดเตรียมฐานความรู้เพียงลำพัง ซึ่งเป็นสถานที่ที่นักวิเคราะห์สามารถหาข้อมูลที่ดำเนินการได้และทำซ้ำได้เพื่อจัดการกับเหตุการณ์ภายในสภาพแวดล้อมของพวกเขา ปฏิบัติการนี้จำเป็นต้องให้เจ้าหน้าที่ SOC หลุดพ้นจากกับดักความรู้และบันทึกขั้นตอนที่ชัดเจนสำหรับทีมงานที่กว้างขึ้น
การบันทึกเอกสารเป็นเรื่องที่ยากเป็นพิเศษในโลกของ SOC เนื่องจากจังหวะการทำงานทำให้การสร้างและการบำรุงรักษา_PLAYBOOK_ และขั้นตอนเป็นไปได้ยาก แต่ว่าการละเลยขั้นตอนนี้ไม่ใช่ทางเลือก ในขณะที่บล็อกเกอร์ด้านความปลอดภัยคนหนึ่งเขียนว่า “หากไม่มี_BOOK_ นักวิเคราะห์มักจะกลับไปใช้สัญชาตญาณของพวกเขา — ซึ่งอาจมีประสิทธิภาพสำหรับบุคคล แต่ก็ทำให้ทั้งทีมต้องพึ่งพาความรู้ที่มีอยู่ในจิตใจของนักวิเคราะห์คนนั้น”
แล้วนักวิเคราะห์รักษาความปลอดภัยที่เร่งรีบจะทำอย่างไร?
ความปลอดภัย พบกับการจัดการความรู้
คำตอบมาจากการจัดการความรู้แบบเก่าที่ยอดเยี่ยมซึ่งไม่ใช่แค่หน้าที่เพิ่มเติมใน SOC ที่ยุ่ง แต่เป็นทักษะที่จำเป็น กรณีในจุดที่ NIST Cybersecurity Workforce Framework ระบุการจัดการความรู้ว่าเป็นความเชี่ยวชาญหลักในหมู่เจ้าหน้าที่รักษาความปลอดภัย นี่รวมถึงความสามารถในการสร้างเนื้อหา การจัดการเครื่องมือร่วมกัน และความสามารถทั่วไปในการ “ระบุ เอกสาร และเข้าถึงทรัพย์สินทางปัญญาและเนื้อหาข้อมูล”
ผู้เชี่ยวชาญในอุตสาหกรรมเห็นพ้องกันว่าฐานความรู้คือเครื่องขยายกำลังที่ยิ่งใหญ่ภายใน SOC ใน บทความ “การเพิ่มระดับ IQ ของ SOC ด้วยการถ่ายโอนความรู้” ไมค์ ฟาวเลอร์ได้กล่าวถึงข้อกำหนดเฉพาะสำหรับที่เก็บข้อมูลเนื้อหาที่ทุกคนสามารถเข้าถึงและบำรุงรักษาได้อย่างง่ายดาย:
“การใช้วิธีการอัตโนมัติในการใช้ฐานข้อมูลที่รวมศูนย์และ_PLAYBOOK_ ที่มีโครงสร้างจะทำให้กระบวนการถ่ายโอนความรู้สามารถทำซ้ำได้ รับรองได้ และสอดคล้องกัน”
ตัวอย่างหนึ่งของวิธีที่ SOAR และ_PLAYBOOK_ มาอยู่ร่วมกันอาจเป็นกรณีที่การแจ้งเตือนของเครื่องบอกให้เจ้าหน้าที่รักษาความปลอดภัยว่าข้อมูลจำนวนมากกำลังออกจากองค์กรไปยังเว็บไซต์ที่ไม่รู้จัก นักวิเคราะห์หรือตัวตอบสนองเฉพาะทำการดำเนินการตามการแจ้งเตือนและบล็อกเว็บไซต์จากการรับข้อมูลบริษัทเพิ่มเติม แต่สิ่งนี้เป็นเพียงแค่ขั้นตอนแรกในสิ่งที่ควรจะเป็นชุดของการกระทำโดยมนุษย์เพื่อทำความเข้าใจถึงขอบเขตของเหตุการณ์และประเมินผลกระทบ _PLAYBOOK_ อาจบอกว่า “ค้นหาที่อยู่เซิร์ฟเวอร์และโดเมนของเว็บไซต์ที่ดาวน์โหลด” ตามด้วย “ค้นหาบันทึกเครือข่ายและหาการดาวน์โหลดก่อนหน้านี้ไปยังเซิร์ฟเวอร์นั้น”
โดยการดำเนินการเหล่านี้ผู้ตอบสนองต่อเหตุการณ์จะประกอบภาพรวมของวิธีการ ที่ไหน และเมื่อไหร่เพื่อให้การบริหารสามารถรับทราบและดำเนินการได้อย่างเหมาะสม (ซึ่งอาจจะกระตุ้นให้มี_PLAYBOOK_ ของตัวเอง)
ทำไมการจัดการความรู้ควรเป็นส่วนหนึ่งของสแต็คความปลอดภัยของคุณ
แม้ว่าทางเลือก SOAR ในปัจจุบันสามารถช่วยเฟ้นหาสัญญาณของภัยคุกคามและเตรียมความพร้อมให้กับนักวิเคราะห์ แต่โดยทั่วไปแล้วเครื่องมือเหล่านี้เพียงอย่างเดียวไม่เพียงพอในการตอบสนองต่อเหตุการณ์และติดตามภัยคุกคามจนถึงการแก้ไข
การวิเคราะห์ความปลอดภัย การป้องกัน และการตอบสนองที่เหมาะสมยังคงขึ้นอยู่กับผู้คนและศิลปะการดำเนินงานอันเป็นนิรันดร์ของการแบ่งปันความรู้
เจ้าหน้าที่รักษาความปลอดภัยนั้นหายากเกินไปและมีเวลาจำกัดเกินกว่าจะพูดตามความต้องการในแต่ละเหตุการณ์ใหม่ PLAYBOOK_ ที่เข้าถึงได้ง่าย อัปเดต และทำซ้ำได้คือเสาหลักสำหรับการทำงานให้ชาญฉลาดในสภาพแวดล้อมที่อาจเผชิญการโจมตีเสมอ
หากต้องการเรียนรู้เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยของ Guru ใช้ Guru สำหรับการจัดการความรู้ด้านความปลอดภัย โปรดตรวจสอบบล็อกโพสต์ของฉัน การสนับสนุนทีมที่สร้างรายได้: วิธีที่ Guru ช่วยให้ทุกทีมรวมถึงทีมรักษาความปลอดภัย
ในฐานะที่เป็นเจ้าหน้าที่ด้านความเสี่ยงและการปฏิบัติตามข้อกำหนดของ Guru ฉันใช้เวลาในการดูแลมาตรฐานและการควบคุมที่เราได้เผยแพร่ (สิ่งที่เกี่ยวกับความปลอดภัยที่เราต้องทำ) แต่ฉันยังคอยจับตาดูว่าอัตโนมัติและการจัดการความรู้จะช่วยให้เกิด “ความปลอดภัยเชิงยุทธศาสตร์” ได้อย่างไร คำศัพท์ในอุตสาหกรรมสำหรับการปฏิบัตินี้คือ “Security Orchestration, Automation and Response” (SOAR) แต่เพียงแค่การใช้งานอัตโนมัติก็ไม่ได้สร้างผลลัพธ์ที่สำเร็จเสมอไป
ตัวอย่างเช่น เมื่อร้าน Target ถูก ถูกโจมตีอย่างมีชื่อเสียงในปี 2013ทำให้บริษัทเสียค่าใช้จ่าย $300 ล้าน และเป็นเรื่องที่เตือนใจเกี่ยวกับสิ่งที่อาจผิดพลาดเมื่อมีข้อมูลหลายอย่างทำให้เกิดความสับสน
แน่นอนว่า การแจ้งเตือนที่พลาดไปไม่ได้หมายความว่าจะเกิดการละเมิดในขนาดที่เท่ากับ Target เสมอไป การโจมตีขนาดเล็กเกิดขึ้นทุกวัน ในความเป็นจริง ตาม Breach Level Index มีบันทึกที่ละเอียดอ่อนกว่า 4,000 รายการถูกบุกรุกทุกนาที เพื่อให้ก้าวหน้ากว่ากรณีเหล่านี้ องค์กรมักจะใช้ “สแต็คความปลอดภัย” เพื่อวางธงพฤติกรรมที่ไม่ปกติหรือการบุกรุกที่เป็นไปได้ต่อเครือข่ายของพวกเขา สแต็คนี้จะถูกเฝ้าดูโดยทีมหลักของเจ้าหน้าที่หรือตัวศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) และทีมเหล่านี้กำลังได้รับความช่วยเหลือมากขึ้นจากแอพพลิเคชั่น SOAR เพื่อช่วยเฟ้นหาสิ่งที่ไม่เกี่ยวข้องและดำเนินการกับสิ่งที่เป็นจริง ผู้ขาย SOAR ใหม่กำลังปรากฏขึ้นทั่วภูมิทัศน์ โดย Gartner รายงานว่ามีบริษัทแยกต่างหากมากกว่าหนึ่งโหลในพื้นที่ SOAR
แต่แอพพลิเคชั่น SOAR ที่ดูดีเหล่านี้ไม่สามารถสร้างและจัดเตรียมฐานความรู้เพียงลำพัง ซึ่งเป็นสถานที่ที่นักวิเคราะห์สามารถหาข้อมูลที่ดำเนินการได้และทำซ้ำได้เพื่อจัดการกับเหตุการณ์ภายในสภาพแวดล้อมของพวกเขา ปฏิบัติการนี้จำเป็นต้องให้เจ้าหน้าที่ SOC หลุดพ้นจากกับดักความรู้และบันทึกขั้นตอนที่ชัดเจนสำหรับทีมงานที่กว้างขึ้น
การบันทึกเอกสารเป็นเรื่องที่ยากเป็นพิเศษในโลกของ SOC เนื่องจากจังหวะการทำงานทำให้การสร้างและการบำรุงรักษา_PLAYBOOK_ และขั้นตอนเป็นไปได้ยาก แต่ว่าการละเลยขั้นตอนนี้ไม่ใช่ทางเลือก ในขณะที่บล็อกเกอร์ด้านความปลอดภัยคนหนึ่งเขียนว่า “หากไม่มี_BOOK_ นักวิเคราะห์มักจะกลับไปใช้สัญชาตญาณของพวกเขา — ซึ่งอาจมีประสิทธิภาพสำหรับบุคคล แต่ก็ทำให้ทั้งทีมต้องพึ่งพาความรู้ที่มีอยู่ในจิตใจของนักวิเคราะห์คนนั้น”
แล้วนักวิเคราะห์รักษาความปลอดภัยที่เร่งรีบจะทำอย่างไร?
ความปลอดภัย พบกับการจัดการความรู้
คำตอบมาจากการจัดการความรู้แบบเก่าที่ยอดเยี่ยมซึ่งไม่ใช่แค่หน้าที่เพิ่มเติมใน SOC ที่ยุ่ง แต่เป็นทักษะที่จำเป็น กรณีในจุดที่ NIST Cybersecurity Workforce Framework ระบุการจัดการความรู้ว่าเป็นความเชี่ยวชาญหลักในหมู่เจ้าหน้าที่รักษาความปลอดภัย นี่รวมถึงความสามารถในการสร้างเนื้อหา การจัดการเครื่องมือร่วมกัน และความสามารถทั่วไปในการ “ระบุ เอกสาร และเข้าถึงทรัพย์สินทางปัญญาและเนื้อหาข้อมูล”
ผู้เชี่ยวชาญในอุตสาหกรรมเห็นพ้องกันว่าฐานความรู้คือเครื่องขยายกำลังที่ยิ่งใหญ่ภายใน SOC ใน บทความ “การเพิ่มระดับ IQ ของ SOC ด้วยการถ่ายโอนความรู้” ไมค์ ฟาวเลอร์ได้กล่าวถึงข้อกำหนดเฉพาะสำหรับที่เก็บข้อมูลเนื้อหาที่ทุกคนสามารถเข้าถึงและบำรุงรักษาได้อย่างง่ายดาย:
“การใช้วิธีการอัตโนมัติในการใช้ฐานข้อมูลที่รวมศูนย์และ_PLAYBOOK_ ที่มีโครงสร้างจะทำให้กระบวนการถ่ายโอนความรู้สามารถทำซ้ำได้ รับรองได้ และสอดคล้องกัน”
ตัวอย่างหนึ่งของวิธีที่ SOAR และ_PLAYBOOK_ มาอยู่ร่วมกันอาจเป็นกรณีที่การแจ้งเตือนของเครื่องบอกให้เจ้าหน้าที่รักษาความปลอดภัยว่าข้อมูลจำนวนมากกำลังออกจากองค์กรไปยังเว็บไซต์ที่ไม่รู้จัก นักวิเคราะห์หรือตัวตอบสนองเฉพาะทำการดำเนินการตามการแจ้งเตือนและบล็อกเว็บไซต์จากการรับข้อมูลบริษัทเพิ่มเติม แต่สิ่งนี้เป็นเพียงแค่ขั้นตอนแรกในสิ่งที่ควรจะเป็นชุดของการกระทำโดยมนุษย์เพื่อทำความเข้าใจถึงขอบเขตของเหตุการณ์และประเมินผลกระทบ _PLAYBOOK_ อาจบอกว่า “ค้นหาที่อยู่เซิร์ฟเวอร์และโดเมนของเว็บไซต์ที่ดาวน์โหลด” ตามด้วย “ค้นหาบันทึกเครือข่ายและหาการดาวน์โหลดก่อนหน้านี้ไปยังเซิร์ฟเวอร์นั้น”
โดยการดำเนินการเหล่านี้ผู้ตอบสนองต่อเหตุการณ์จะประกอบภาพรวมของวิธีการ ที่ไหน และเมื่อไหร่เพื่อให้การบริหารสามารถรับทราบและดำเนินการได้อย่างเหมาะสม (ซึ่งอาจจะกระตุ้นให้มี_PLAYBOOK_ ของตัวเอง)
ทำไมการจัดการความรู้ควรเป็นส่วนหนึ่งของสแต็คความปลอดภัยของคุณ
แม้ว่าทางเลือก SOAR ในปัจจุบันสามารถช่วยเฟ้นหาสัญญาณของภัยคุกคามและเตรียมความพร้อมให้กับนักวิเคราะห์ แต่โดยทั่วไปแล้วเครื่องมือเหล่านี้เพียงอย่างเดียวไม่เพียงพอในการตอบสนองต่อเหตุการณ์และติดตามภัยคุกคามจนถึงการแก้ไข
การวิเคราะห์ความปลอดภัย การป้องกัน และการตอบสนองที่เหมาะสมยังคงขึ้นอยู่กับผู้คนและศิลปะการดำเนินงานอันเป็นนิรันดร์ของการแบ่งปันความรู้
เจ้าหน้าที่รักษาความปลอดภัยนั้นหายากเกินไปและมีเวลาจำกัดเกินกว่าจะพูดตามความต้องการในแต่ละเหตุการณ์ใหม่ PLAYBOOK_ ที่เข้าถึงได้ง่าย อัปเดต และทำซ้ำได้คือเสาหลักสำหรับการทำงานให้ชาญฉลาดในสภาพแวดล้อมที่อาจเผชิญการโจมตีเสมอ
หากต้องการเรียนรู้เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยของ Guru ใช้ Guru สำหรับการจัดการความรู้ด้านความปลอดภัย โปรดตรวจสอบบล็อกโพสต์ของฉัน การสนับสนุนทีมที่สร้างรายได้: วิธีที่ Guru ช่วยให้ทุกทีมรวมถึงทีมรักษาความปลอดภัย
ได้สัมผัสพลังของแพลตฟอร์ม Guru โดยตรง - เข้าร่วมทัวร์ผลิตภัณฑ์ของเราอย่างแบบอินเทอร์แอคทีฟ
ไปทัวร์
