Управління знаннями є основним набором навичок, коли справа доходить до оркестрації безпеки, автоматизації та реагування (SOAR). Прочитайте, чому правильний аналіз, запобігання та реагування на безпеку залежать від оперативного мистецтва обміну знаннями, та як наша безпека
Як Офіцер з управління ризиками та відповідності Guru, я витрачаю час на підтримку наших опублікованих стандартів і контролів (безпекові питання, які нам потрібно вирішувати), але я також слідкую за тим, як автоматизація та управління знаннями можуть забезпечити "тактичну безпеку". Термін у галузі для цієї практики - "Оркестрація безпеки, автоматизація та реагування" (SOAR), але сама по собі автоматизація не завжди забезпечує успішні результати.
Наприклад, коли магазини Target відомо зазнали зламу у 2013 році, кібератака спрацювала частково тому, що охоронці не звернули уваги на сигнал тривоги машини, який був похований серед повідомлень їхніх сигналізацій. Злам зрештою обійшовся компанії у 300 мільйонів доларів і став попередженням про те, що може піти не так, коли занадто багато вхідних даних викликає плутанину.
Звичайно, не кожен пропущений сигнал веде до зламу масштабу Target. Менші атаки відбуваються щодня. Насправді, згідно з Індексом рівня зламу, щохвилини компрометується понад чотири тисячі чутливих записів. Щоб випередити ці інциденти, організації зазвичай використовують "пакет безпеки", щоб відзначати незвичну поведінку або можливі вторгнення в їхню мережу. Цей пакет спостерігається ядром команди співробітників або повноцінним Центром безпеки (SOC), і все більше ці команди отримують допомогу від SOAR-додатків для вилучення цифрового "сміття" та дій на те, що є реальним. Нові постачальники SOAR заповнюють ландшафт, при цьому Gartner повідомляє про понад десяток окремих фірм у сфері SOAR.
Проте ці привабливі, готові до використання SOAR-додатки не створюють і не заповнюють базу знань самостійно, місце, де аналітики можуть знайти дієву, повторювану інформацію для вирішення інцидентів у їхньому середовищі. Ця операційна практика вимагає від працівників SOC вийти з пастки знань і документувати конкретні процедури для широкої команди.
Документування є особливо складним у світі SOC, оскільки темп перешкоджає створенню та постійному оновленню посібників і процедур. Але ігнорувати цей крок неможливо. Один блогер з безпеки пише: "Без посібників аналітики схильні покладатися на свою інтуїцію — що може бути ефективним для окремого, але ставить всю команду на милість знань, які існують лише в голові цього аналітика."
Що ж робити гарячому аналітику з безпеки?
Безпека, познайомтеся з управлінням знаннями
Відповідь приходить через добре старомодне управління знаннями, що є не лише додатковою обов'язком у зайнятій SOC, а й важливим набором навичок. Наприклад, Рамка робочої сили кібербезпеки NIST зазначає управління знаннями як основну експертизу серед працівників безпеки. Це передбачає вміння в створенні контенту, управлінні спільними інструментами та загальну здатність "ідентифікувати, документувати та отримувати доступ до інтелектуального капіталу та інформаційного контенту."
Експерти галузі погоджуються, що база знань є величезним мультиплікатором сил у SOC. У своєму артикулі "Підвищення рівнів IQ SOC за рахунок передачі знань" Майк Фаулер підкреслює конкретну вимогу до сховища контенту, до якого всі можуть отримати доступ і яке легко підтримувати:
"Впровадження автоматизованого підходу з використанням централізованої бази даних і структурованих посібників гарантує, що процеси передачі знань будуть повторюваними, відстояними та послідовними."
Один з прикладів того, як SOAR і посібники об'єднуються, може бути в ситуації, коли сигнал тривоги машини повідомляє охоронцям, що велика кількість даних залишає організацію, перетікаючи на невідому сторінку. Аналітик або спеціальний відповідальник діє на сигнал тривоги і блокує сайт від отримання будь-яких додаткових даних компанії, але це лише перший крок у тому, що має бути серією людських дій, щоб зрозуміти масштаб інциденту та оцінити вплив. Посібник може говорити: "Перевірте адресу сервера та домен сайту завантаження", за яким слідує, "Пошук в мережевих журналах та знаходження будь-яких попередніх завантажень на цей сервер."
Виконуючи ці дії, відповідальний за інцидент зрештою з'єднує шматочки пізнання про те, що, коли, де, то управлінню буде повідомлено, і вони можуть відповідно діяти (що, ймовірно, викликало б свій власний посібник).
Чому управління знаннями повинно бути частиною вашого пакету безпеки
Хоча сьогоднішні інструменти SOAR можуть допомогти виявити фактори загроз і підготувати їх для людських аналітиків, зазвичай буває так, що самі інструменти недостатні для реагування на інциденти та їх завершення.
Правильний аналіз, запобігання та реагування на безпеку все ще залежать від людей та вічного оперативного мистецтва обміну знаннями.
Персонал безпеки є занадто рідкісним і обмеженим у часі, щоб імпровізувати під час кожного нового інциденту. Легко доступні, оновлені, повторювані посібники є основою для ефективної роботи в середовищі, яке завжди потенційно під загрозою.
Як Офіцер з управління ризиками та відповідності Guru, я витрачаю час на підтримку наших опублікованих стандартів і контролів (безпекові питання, які нам потрібно вирішувати), але я також слідкую за тим, як автоматизація та управління знаннями можуть забезпечити "тактичну безпеку". Термін у галузі для цієї практики - "Оркестрація безпеки, автоматизація та реагування" (SOAR), але сама по собі автоматизація не завжди забезпечує успішні результати.
Наприклад, коли магазини Target відомо зазнали зламу у 2013 році, кібератака спрацювала частково тому, що охоронці не звернули уваги на сигнал тривоги машини, який був похований серед повідомлень їхніх сигналізацій. Злам зрештою обійшовся компанії у 300 мільйонів доларів і став попередженням про те, що може піти не так, коли занадто багато вхідних даних викликає плутанину.
Звичайно, не кожен пропущений сигнал веде до зламу масштабу Target. Менші атаки відбуваються щодня. Насправді, згідно з Індексом рівня зламу, щохвилини компрометується понад чотири тисячі чутливих записів. Щоб випередити ці інциденти, організації зазвичай використовують "пакет безпеки", щоб відзначати незвичну поведінку або можливі вторгнення в їхню мережу. Цей пакет спостерігається ядром команди співробітників або повноцінним Центром безпеки (SOC), і все більше ці команди отримують допомогу від SOAR-додатків для вилучення цифрового "сміття" та дій на те, що є реальним. Нові постачальники SOAR заповнюють ландшафт, при цьому Gartner повідомляє про понад десяток окремих фірм у сфері SOAR.
Проте ці привабливі, готові до використання SOAR-додатки не створюють і не заповнюють базу знань самостійно, місце, де аналітики можуть знайти дієву, повторювану інформацію для вирішення інцидентів у їхньому середовищі. Ця операційна практика вимагає від працівників SOC вийти з пастки знань і документувати конкретні процедури для широкої команди.
Документування є особливо складним у світі SOC, оскільки темп перешкоджає створенню та постійному оновленню посібників і процедур. Але ігнорувати цей крок неможливо. Один блогер з безпеки пише: "Без посібників аналітики схильні покладатися на свою інтуїцію — що може бути ефективним для окремого, але ставить всю команду на милість знань, які існують лише в голові цього аналітика."
Що ж робити гарячому аналітику з безпеки?
Безпека, познайомтеся з управлінням знаннями
Відповідь приходить через добре старомодне управління знаннями, що є не лише додатковою обов'язком у зайнятій SOC, а й важливим набором навичок. Наприклад, Рамка робочої сили кібербезпеки NIST зазначає управління знаннями як основну експертизу серед працівників безпеки. Це передбачає вміння в створенні контенту, управлінні спільними інструментами та загальну здатність "ідентифікувати, документувати та отримувати доступ до інтелектуального капіталу та інформаційного контенту."
Експерти галузі погоджуються, що база знань є величезним мультиплікатором сил у SOC. У своєму артикулі "Підвищення рівнів IQ SOC за рахунок передачі знань" Майк Фаулер підкреслює конкретну вимогу до сховища контенту, до якого всі можуть отримати доступ і яке легко підтримувати:
"Впровадження автоматизованого підходу з використанням централізованої бази даних і структурованих посібників гарантує, що процеси передачі знань будуть повторюваними, відстояними та послідовними."
Один з прикладів того, як SOAR і посібники об'єднуються, може бути в ситуації, коли сигнал тривоги машини повідомляє охоронцям, що велика кількість даних залишає організацію, перетікаючи на невідому сторінку. Аналітик або спеціальний відповідальник діє на сигнал тривоги і блокує сайт від отримання будь-яких додаткових даних компанії, але це лише перший крок у тому, що має бути серією людських дій, щоб зрозуміти масштаб інциденту та оцінити вплив. Посібник може говорити: "Перевірте адресу сервера та домен сайту завантаження", за яким слідує, "Пошук в мережевих журналах та знаходження будь-яких попередніх завантажень на цей сервер."
Виконуючи ці дії, відповідальний за інцидент зрештою з'єднує шматочки пізнання про те, що, коли, де, то управлінню буде повідомлено, і вони можуть відповідно діяти (що, ймовірно, викликало б свій власний посібник).
Чому управління знаннями повинно бути частиною вашого пакету безпеки
Хоча сьогоднішні інструменти SOAR можуть допомогти виявити фактори загроз і підготувати їх для людських аналітиків, зазвичай буває так, що самі інструменти недостатні для реагування на інциденти та їх завершення.
Правильний аналіз, запобігання та реагування на безпеку все ще залежать від людей та вічного оперативного мистецтва обміну знаннями.
Персонал безпеки є занадто рідкісним і обмеженим у часі, щоб імпровізувати під час кожного нового інциденту. Легко доступні, оновлені, повторювані посібники є основою для ефективної роботи в середовищі, яке завжди потенційно під загрозою.
