Bilgi yönetimi, güvenlik orkestrasyonu, otomasyon ve yanıt (SOAR) konusunda temel bir beceri setidir. Doğru güvenlik analizi, önleme ve yanıtın neden bilgi paylaşımının operasyonel sanatına bağlı olduğunu ve güvenlik ekibinin nasıl işlediğini okuyun
Guru'nun Risk ve Uyum Görevlisi olarak, belirlenmiş standartlarımız ve kontrollerimizin (yapmamız gereken güvenlik işleri) bakımında zaman harcıyorum, ancak aynı zamanda otomasyon ve bilgi yönetiminin “taktik güvenliği” nasıl sağlayabileceğine de dikkat ediyorum. Bu uygulama için endüstri terimi “Güvenlik Orkestrasyonu, Otomasyon ve Yanıt” (SOAR), ancak tek başına otomasyon her zaman başarılı sonuçlar vermez.
Örneğin, Target mağazaları 2013'te ünlü bir şekilde ihlal edildiğinde, siber saldırı, kısmen, güvenlik personelinin güvenlik sensör beslemelerinin gürültüsü içinde gömülen bir makine uyarısını gözden kaçırması nedeniyle işe yaradı. İhlal nihayetinde şirkete 300 milyon dolara mal oldu ve çok fazla girişin kafa karışıklığına neden olabileceği konusunda bir uyarıcı hikaye olarak hizmet etti.
Tabii ki, her gözden kaçan uyarı Target büyüklüğünde bir ihlale neden olmaz. Daha küçük saldırılar her gün meydana geliyor. Gerçekten de, İhlal Seviyesi Endeksi'ne göre, her dakika dört binin üzerinde hassas kayıt tehlikeye atılıyor. Bu olayların önüne geçmek için, organizasyonlar genellikle ağlarındaki olağandışı davranış veya muhtemel saldırıları işaretlemek için bir “güvenlik yığını” kullanır. Bu yığın, bir çekirdek ekip veya tam kapsamlı bir Güvenlik Operasyon Merkezi (SOC) tarafından izleniyor, ve giderek daha fazla bu ekipler SOAR uygulamalarının dijital gereksizleri ayıklayıp gerçek olan üzerine harekete geçmesine yardımcı olduğunu görüyor. Yeni SOAR satıcıları manzarayı süslüyor, Gartner, SOAR alanında ondan fazla ayrı firmanın bulunduğunu bildiriyor.
Ancak bu parlak, anahtarı teslim edilen SOAR uygulamaları kendi başlarına bir bilgi tabanı yaratmıyor ve doldurmuyor, burası analistlerin bulundukları ortamda olayları ele alacak eyleme geçirilebilir, tekrarlanabilir bilgileri bulabilecekleri bir yer. Bu operasyonel uygulama, SOC personelinin bilgi tuzağından kurtulmasını ve daha geniş ekip için somut prosedürleri belgelemelerini gerektiriyor.
Belgelendirme, SOC dünyasında özellikle zor, çünkü hız, doküman ve prosedürlerin oluşturulması ve sürekliliğini engelliyor. Ancak bu adımı görmezden gelmek bir seçenek değil. Bir güvenlik blog yazarı yazıyor: “Oyun kitapları olmadan, analistler genellikle içgüdülerine dönerler — bu birey için etkili olabilir, ancak bu tüm ekibi o analistin zihnindeki bilgiye mahkûm bırakır.”
Bu durumda acı çeken bir güvenlik analisti ne yapmalıdır?
Güvenlik, bilgi yönetimi ile buluşuyor
Cevap, sadece yoğun bir SOC içindeki ek bir görev değil, aynı zamanda temel bir beceri seti olan iyi eski bilgi yönetimi ile geliyor. Örnek olarak, NIST Siber Güvenlik İş Gücü Çerçevesi bilgi yönetimini güvenlik personelinin temel uzmanlığı olarak listeliyor. Bu, içerik oluşturma, işbirlikçi araç yönetimi ve “entellektüel sermaye ve bilgi içeriğini tanımlama, belgeleme ve erişme” genel yeterliliğini içerir.
Sektör uzmanları, bilgi tabanının SOC içinde büyük bir güç çarpanı olduğunda hemfikir. Mike Fowler'ın “SOC IQ Seviyelerini Bilgi Aktarımı ile Artırma” başlıklı makalesinde, herkesin erişebileceği ve kolayca bakımını yapabileceği bir içerik deposu için spesifik gereksinimi vurguluyor:
“Otomatik bir yaklaşım uygulamak, merkezi bir veritabanı ve yapılandırılmış oyun kitapları kullanmak, bilgi aktarım süreçlerinin tekrarlanabilir, savunulabilir ve tutarlı olmasını sağlayacaktır.”
SOAR ve oyun kitaplarının nasıl birleşebileceğine bir örnek, bir makine uyarısının güvenlik personeline büyük miktarda verinin organizasyondan çıktığını, bilinmeyen bir siteye doğru aktığını bildirmesidir. Analist veya özel bir yanıt verici, uyarıya tepki gösterir ve siteyi şirketin verilerini almaktan alıkoyar, ancak bu, olayın kapsamını anlamak ve etkiyi değerlendirmek için bir dizi insan eyleminin sadece ilk adımıdır. Oyun kitabı şunu söyleyebilir: “İndirme sitesinin sunucu adresini ve alanını araştırın” ardından “ağ günlüklerini arayıp sunucuya yapılan önceki indirmeleri bulun.”
Bu eylemleri gerçekleştirerek, olay yanıtlayıcı nihayetinde nasıl, ne, ne zaman ve nerede bulmacasını birleştirir ki yönetim bilgilendirilebilir ve uygun şekilde ilerleyebilir (bu muhtemelen kendi oyun kitabını tetikleyecektir).
Neden bilgi yönetimi güvenlik yığınınızın bir parçası olmalıdır
Bugünün SOAR araçları, tehdit göstergelerini ayıklamada ve bunları insan analistlere sunmada yardımcı olabilirken, genellikle araçların kendi başına olaylara yanıt vermek ve onları çözmeye devam etmek için yeterli olmadığı durumlar söz konusudur.
Doğru güvenlik analizi, önleme ve yanıt hala insanlara ve bilgi paylaşımının zamansız operasyonel sanatına dayanıyor.
Güvenlik personeli her yeni olaydan geçerken kendi başına karar verme imkanına sahip olmak için çok az ve zaman kısıtlıdır. Kolayca erişilebilir, güncellenmiş, tekrarlanabilir oyun kitapları, sürekli olarak potansiyel saldırı altında olan bir ortamda daha akıllı çalışmanın temel taşlarıdır.
Guru'nun Risk ve Uyum Görevlisi olarak, belirlenmiş standartlarımız ve kontrollerimizin (yapmamız gereken güvenlik işleri) bakımında zaman harcıyorum, ancak aynı zamanda otomasyon ve bilgi yönetiminin “taktik güvenliği” nasıl sağlayabileceğine de dikkat ediyorum. Bu uygulama için endüstri terimi “Güvenlik Orkestrasyonu, Otomasyon ve Yanıt” (SOAR), ancak tek başına otomasyon her zaman başarılı sonuçlar vermez.
Örneğin, Target mağazaları 2013'te ünlü bir şekilde ihlal edildiğinde, siber saldırı, kısmen, güvenlik personelinin güvenlik sensör beslemelerinin gürültüsü içinde gömülen bir makine uyarısını gözden kaçırması nedeniyle işe yaradı. İhlal nihayetinde şirkete 300 milyon dolara mal oldu ve çok fazla girişin kafa karışıklığına neden olabileceği konusunda bir uyarıcı hikaye olarak hizmet etti.
Tabii ki, her gözden kaçan uyarı Target büyüklüğünde bir ihlale neden olmaz. Daha küçük saldırılar her gün meydana geliyor. Gerçekten de, İhlal Seviyesi Endeksi'ne göre, her dakika dört binin üzerinde hassas kayıt tehlikeye atılıyor. Bu olayların önüne geçmek için, organizasyonlar genellikle ağlarındaki olağandışı davranış veya muhtemel saldırıları işaretlemek için bir “güvenlik yığını” kullanır. Bu yığın, bir çekirdek ekip veya tam kapsamlı bir Güvenlik Operasyon Merkezi (SOC) tarafından izleniyor, ve giderek daha fazla bu ekipler SOAR uygulamalarının dijital gereksizleri ayıklayıp gerçek olan üzerine harekete geçmesine yardımcı olduğunu görüyor. Yeni SOAR satıcıları manzarayı süslüyor, Gartner, SOAR alanında ondan fazla ayrı firmanın bulunduğunu bildiriyor.
Ancak bu parlak, anahtarı teslim edilen SOAR uygulamaları kendi başlarına bir bilgi tabanı yaratmıyor ve doldurmuyor, burası analistlerin bulundukları ortamda olayları ele alacak eyleme geçirilebilir, tekrarlanabilir bilgileri bulabilecekleri bir yer. Bu operasyonel uygulama, SOC personelinin bilgi tuzağından kurtulmasını ve daha geniş ekip için somut prosedürleri belgelemelerini gerektiriyor.
Belgelendirme, SOC dünyasında özellikle zor, çünkü hız, doküman ve prosedürlerin oluşturulması ve sürekliliğini engelliyor. Ancak bu adımı görmezden gelmek bir seçenek değil. Bir güvenlik blog yazarı yazıyor: “Oyun kitapları olmadan, analistler genellikle içgüdülerine dönerler — bu birey için etkili olabilir, ancak bu tüm ekibi o analistin zihnindeki bilgiye mahkûm bırakır.”
Bu durumda acı çeken bir güvenlik analisti ne yapmalıdır?
Güvenlik, bilgi yönetimi ile buluşuyor
Cevap, sadece yoğun bir SOC içindeki ek bir görev değil, aynı zamanda temel bir beceri seti olan iyi eski bilgi yönetimi ile geliyor. Örnek olarak, NIST Siber Güvenlik İş Gücü Çerçevesi bilgi yönetimini güvenlik personelinin temel uzmanlığı olarak listeliyor. Bu, içerik oluşturma, işbirlikçi araç yönetimi ve “entellektüel sermaye ve bilgi içeriğini tanımlama, belgeleme ve erişme” genel yeterliliğini içerir.
Sektör uzmanları, bilgi tabanının SOC içinde büyük bir güç çarpanı olduğunda hemfikir. Mike Fowler'ın “SOC IQ Seviyelerini Bilgi Aktarımı ile Artırma” başlıklı makalesinde, herkesin erişebileceği ve kolayca bakımını yapabileceği bir içerik deposu için spesifik gereksinimi vurguluyor:
“Otomatik bir yaklaşım uygulamak, merkezi bir veritabanı ve yapılandırılmış oyun kitapları kullanmak, bilgi aktarım süreçlerinin tekrarlanabilir, savunulabilir ve tutarlı olmasını sağlayacaktır.”
SOAR ve oyun kitaplarının nasıl birleşebileceğine bir örnek, bir makine uyarısının güvenlik personeline büyük miktarda verinin organizasyondan çıktığını, bilinmeyen bir siteye doğru aktığını bildirmesidir. Analist veya özel bir yanıt verici, uyarıya tepki gösterir ve siteyi şirketin verilerini almaktan alıkoyar, ancak bu, olayın kapsamını anlamak ve etkiyi değerlendirmek için bir dizi insan eyleminin sadece ilk adımıdır. Oyun kitabı şunu söyleyebilir: “İndirme sitesinin sunucu adresini ve alanını araştırın” ardından “ağ günlüklerini arayıp sunucuya yapılan önceki indirmeleri bulun.”
Bu eylemleri gerçekleştirerek, olay yanıtlayıcı nihayetinde nasıl, ne, ne zaman ve nerede bulmacasını birleştirir ki yönetim bilgilendirilebilir ve uygun şekilde ilerleyebilir (bu muhtemelen kendi oyun kitabını tetikleyecektir).
Neden bilgi yönetimi güvenlik yığınınızın bir parçası olmalıdır
Bugünün SOAR araçları, tehdit göstergelerini ayıklamada ve bunları insan analistlere sunmada yardımcı olabilirken, genellikle araçların kendi başına olaylara yanıt vermek ve onları çözmeye devam etmek için yeterli olmadığı durumlar söz konusudur.
Doğru güvenlik analizi, önleme ve yanıt hala insanlara ve bilgi paylaşımının zamansız operasyonel sanatına dayanıyor.
Güvenlik personeli her yeni olaydan geçerken kendi başına karar verme imkanına sahip olmak için çok az ve zaman kısıtlıdır. Kolayca erişilebilir, güncellenmiş, tekrarlanabilir oyun kitapları, sürekli olarak potansiyel saldırı altında olan bir ortamda daha akıllı çalışmanın temel taşlarıdır.
