Quản lý tri thức là một kỹ năng thiết yếu khi nói đến phối hợp, tự động hóa và phản ứng bảo mật (SOAR). Đọc lý do mà phân tích, phòng ngừa và phản ứng bảo mật chính xác phụ thuộc vào nghệ thuật vận hành của việc chia sẻ tri thức, và cách mà bảo mật của chúng tôi
Trong vai trò là Nhân viên Quản lý Rủi ro và Tuân thủ của Guru, tôi dành thời gian cho việc duy trì các tiêu chuẩn và kiểm soát mà chúng tôi đã đăng tải (những vấn đề bảo mật mà chúng tôi cần làm), nhưng tôi cũng theo dõi cách tự động hóa và quản lý tri thức có thể giúp thúc đẩy "bảo mật chiến thuật." Thuật ngữ trong ngành cho thực hành này là "Tự động hóa, Phối hợp và Phản ứng Bảo mật" (SOAR), nhưng tự bản thân, tự động hóa không phải lúc nào cũng mang lại kết quả thành công.
Ví dụ, khi các cửa hàng Target đã bị xâm nhập nổi tiếng vào năm 2013, cuộc tấn công mạng phần nào thành công, bởi vì nhân viên bảo mật đã bỏ qua một cảnh báo máy móc bị chôn vùi trong các tín hiệu từ cảm biến bảo mật của họ. Cuộc xâm nhập cuối cùng đã tiêu tốn của công ty 300 triệu đô la và trở thành một bài học cảnh giác về những gì có thể sai khi quá nhiều đầu vào gây ra sự nhầm lẫn.
Tất nhiên, không phải mọi cảnh báo bị bỏ lỡ đều dẫn đến một cuộc xâm nhập quy mô lớn như của Target. Các cuộc tấn công nhỏ hơn diễn ra hàng ngày. Thực tế, theo Chỉ số Mức độ Xâm nhập, có hơn bốn nghìn hồ sơ nhạy cảm bị xâm phạm mỗi phút. Để dẫn trước những sự cố này, các tổ chức thường sử dụng một "bộ bảo mật" để phát hiện hành vi bất thường hoặc các sự xâm nhập có thể xảy ra vào mạng của họ. Bộ này được theo dõi bởi một nhóm nhân viên cốt lõi hoặc một Trung tâm Hoạt động Bảo mật (SOC) hoàn chỉnh, và ngày càng nhiều những nhóm này được hỗ trợ bởi các ứng dụng SOAR để chọn lọc thông tin không cần thiết và hành động dựa trên những gì thực tế. Các nhà cung cấp SOAR mới đang xuất hiện ngày càng nhiều, với Gartner báo cáo hơn mười công ty riêng biệt trong lĩnh vực SOAR.
Tuy nhiên, những ứng dụng SOAR bóng bẩy và sẵn sàng sử dụng này không tự tạo ra và cập nhật một cơ sở tri thức, một nơi mà các nhà phân tích có thể tìm thấy thông tin có thể hành động và lặp lại để giải quyết các sự cố trong môi trường của họ. Thực tiễn vận hành này yêu cầu nhân viên SOC phải thoát khỏi cái bẫy tri thức và tài liệu về các quy trình cụ thể cho đội ngũ rộng hơn.
Việc tài liệu là đặc biệt khó khăn trong thế giới SOC, vì nhịp độ chóng mặt cản trở việc tạo ra và duy trì liên tục các tài liệu và quy trình. Nhưng việc bỏ qua bước này không phải là một lựa chọn. Một blogger về bảo mật viết, "Không có các tài liệu hướng dẫn, các nhà phân tích có xu hướng dựa vào cảm giác — điều này có thể hiệu quả với cá nhân, nhưng nó để cả đội ngũ phải phụ thuộc vào tri thức có trong tâm trí của nhà phân tích đó."
Vậy một nhà phân tích bảo mật bận rộn thì phải làm gì?
Bảo mật, gặp gỡ quản lý tri thức
Giải pháp đến từ việc quản lý tri thức truyền thống, không chỉ là một nhiệm vụ bổ sung trong một SOC bận rộn, mà còn là một kỹ năng thiết yếu. Một ví dụ, Khung lực lượng lao động bảo mật của NIST liệt kê quản lý tri thức như một chuyên môn cốt lõi trong số nhân viên bảo mật. Điều này bao gồm sự thành thạo trong việc tạo nội dung, quản lý công cụ cộng tác và khả năng tổng quát để "xác định, tài liệu và truy cập vốn tri thức và nội dung thông tin."
Các chuyên gia trong ngành đồng ý rằng một cơ sở tri thức là một yếu tố gia tăng sức mạnh lớn trong SOC. Trong bài viết của mình "Nâng cao mức IQ SOC thông qua việc chuyển giao tri thức," Mike Fowler chỉ ra yêu cầu cụ thể cho một kho nội dung mà mọi người có thể truy cập và dễ dàng duy trì:
"Thực hiện một cách tiếp cận tự động hóa bằng cách sử dụng cơ sở dữ liệu trung tâm và các tài liệu hướng dẫn có cấu trúc sẽ đảm bảo rằng các quy trình chuyển giao tri thức có thể lặp lại, hợp lệ và nhất quán."
Một ví dụ về cách SOAR và các tài liệu hướng dẫn kết hợp có thể là nơi một cảnh báo máy cho biết nhân viên bảo mật rằng một khối lượng lớn dữ liệu đang rời khỏi tổ chức, chảy ra một trang web không rõ ràng. Nhà phân tích hoặc người phản ứng chuyên trách sẽ hành động theo cảnh báo và chặn trang web nhận bất kỳ dữ liệu nào bổ sung từ công ty, nhưng đây chỉ là bước đầu tiên trong một loạt các hành động của con người để hiểu được quy mô của sự cố và đánh giá tác động. Cẩm nang có thể viết, "Tìm địa chỉ máy chủ và miền của trang tải xuống," và sau đó, "Tìm kiếm nhật ký mạng và xác định bất kỳ tải xuống trước đó đến máy chủ đó."
Bằng cách thực hiện những hành động này, người phản ứng sự cố cuối cùng sẽ ghép lại được câu đố về cách, cái gì, khi nào và ở đâu để quản lý có thể được thông báo và tiến hành tùy theo (điều này sẽ có thể dẫn đến cẩm nang riêng của nó).
Tại sao quản lý tri thức nên là một phần trong bộ bảo mật của bạn
Mặc dù các công cụ SOAR ngày nay có thể giúp phát hiện các chỉ báo mối đe dọa và chuẩn bị chúng cho các nhà phân tích con người, nhưng thường trường hợp rằng các công cụ chỉ đơn giản là không đủ để phản ứng với các sự cố và theo dõi chúng đến khi giải quyết.
Phân tích bảo mật chính xác, phòng ngừa và phản ứng vẫn phụ thuộc vào con người và nghệ thuật vận hành bất tận của việc chia sẻ tri thức.
Nhân viên bảo mật thì quá ít và bị hạn chế thời gian để có thể ứng phó qua mỗi sự cố mới. Các tài liệu dễ dàng truy cập, được cập nhật và có thể lặp lại là nền tảng để làm việc hiệu quả hơn trong một môi trường luôn có thể bị tấn công.
Trong vai trò là Nhân viên Quản lý Rủi ro và Tuân thủ của Guru, tôi dành thời gian cho việc duy trì các tiêu chuẩn và kiểm soát mà chúng tôi đã đăng tải (những vấn đề bảo mật mà chúng tôi cần làm), nhưng tôi cũng theo dõi cách tự động hóa và quản lý tri thức có thể giúp thúc đẩy "bảo mật chiến thuật." Thuật ngữ trong ngành cho thực hành này là "Tự động hóa, Phối hợp và Phản ứng Bảo mật" (SOAR), nhưng tự bản thân, tự động hóa không phải lúc nào cũng mang lại kết quả thành công.
Ví dụ, khi các cửa hàng Target đã bị xâm nhập nổi tiếng vào năm 2013, cuộc tấn công mạng phần nào thành công, bởi vì nhân viên bảo mật đã bỏ qua một cảnh báo máy móc bị chôn vùi trong các tín hiệu từ cảm biến bảo mật của họ. Cuộc xâm nhập cuối cùng đã tiêu tốn của công ty 300 triệu đô la và trở thành một bài học cảnh giác về những gì có thể sai khi quá nhiều đầu vào gây ra sự nhầm lẫn.
Tất nhiên, không phải mọi cảnh báo bị bỏ lỡ đều dẫn đến một cuộc xâm nhập quy mô lớn như của Target. Các cuộc tấn công nhỏ hơn diễn ra hàng ngày. Thực tế, theo Chỉ số Mức độ Xâm nhập, có hơn bốn nghìn hồ sơ nhạy cảm bị xâm phạm mỗi phút. Để dẫn trước những sự cố này, các tổ chức thường sử dụng một "bộ bảo mật" để phát hiện hành vi bất thường hoặc các sự xâm nhập có thể xảy ra vào mạng của họ. Bộ này được theo dõi bởi một nhóm nhân viên cốt lõi hoặc một Trung tâm Hoạt động Bảo mật (SOC) hoàn chỉnh, và ngày càng nhiều những nhóm này được hỗ trợ bởi các ứng dụng SOAR để chọn lọc thông tin không cần thiết và hành động dựa trên những gì thực tế. Các nhà cung cấp SOAR mới đang xuất hiện ngày càng nhiều, với Gartner báo cáo hơn mười công ty riêng biệt trong lĩnh vực SOAR.
Tuy nhiên, những ứng dụng SOAR bóng bẩy và sẵn sàng sử dụng này không tự tạo ra và cập nhật một cơ sở tri thức, một nơi mà các nhà phân tích có thể tìm thấy thông tin có thể hành động và lặp lại để giải quyết các sự cố trong môi trường của họ. Thực tiễn vận hành này yêu cầu nhân viên SOC phải thoát khỏi cái bẫy tri thức và tài liệu về các quy trình cụ thể cho đội ngũ rộng hơn.
Việc tài liệu là đặc biệt khó khăn trong thế giới SOC, vì nhịp độ chóng mặt cản trở việc tạo ra và duy trì liên tục các tài liệu và quy trình. Nhưng việc bỏ qua bước này không phải là một lựa chọn. Một blogger về bảo mật viết, "Không có các tài liệu hướng dẫn, các nhà phân tích có xu hướng dựa vào cảm giác — điều này có thể hiệu quả với cá nhân, nhưng nó để cả đội ngũ phải phụ thuộc vào tri thức có trong tâm trí của nhà phân tích đó."
Vậy một nhà phân tích bảo mật bận rộn thì phải làm gì?
Bảo mật, gặp gỡ quản lý tri thức
Giải pháp đến từ việc quản lý tri thức truyền thống, không chỉ là một nhiệm vụ bổ sung trong một SOC bận rộn, mà còn là một kỹ năng thiết yếu. Một ví dụ, Khung lực lượng lao động bảo mật của NIST liệt kê quản lý tri thức như một chuyên môn cốt lõi trong số nhân viên bảo mật. Điều này bao gồm sự thành thạo trong việc tạo nội dung, quản lý công cụ cộng tác và khả năng tổng quát để "xác định, tài liệu và truy cập vốn tri thức và nội dung thông tin."
Các chuyên gia trong ngành đồng ý rằng một cơ sở tri thức là một yếu tố gia tăng sức mạnh lớn trong SOC. Trong bài viết của mình "Nâng cao mức IQ SOC thông qua việc chuyển giao tri thức," Mike Fowler chỉ ra yêu cầu cụ thể cho một kho nội dung mà mọi người có thể truy cập và dễ dàng duy trì:
"Thực hiện một cách tiếp cận tự động hóa bằng cách sử dụng cơ sở dữ liệu trung tâm và các tài liệu hướng dẫn có cấu trúc sẽ đảm bảo rằng các quy trình chuyển giao tri thức có thể lặp lại, hợp lệ và nhất quán."
Một ví dụ về cách SOAR và các tài liệu hướng dẫn kết hợp có thể là nơi một cảnh báo máy cho biết nhân viên bảo mật rằng một khối lượng lớn dữ liệu đang rời khỏi tổ chức, chảy ra một trang web không rõ ràng. Nhà phân tích hoặc người phản ứng chuyên trách sẽ hành động theo cảnh báo và chặn trang web nhận bất kỳ dữ liệu nào bổ sung từ công ty, nhưng đây chỉ là bước đầu tiên trong một loạt các hành động của con người để hiểu được quy mô của sự cố và đánh giá tác động. Cẩm nang có thể viết, "Tìm địa chỉ máy chủ và miền của trang tải xuống," và sau đó, "Tìm kiếm nhật ký mạng và xác định bất kỳ tải xuống trước đó đến máy chủ đó."
Bằng cách thực hiện những hành động này, người phản ứng sự cố cuối cùng sẽ ghép lại được câu đố về cách, cái gì, khi nào và ở đâu để quản lý có thể được thông báo và tiến hành tùy theo (điều này sẽ có thể dẫn đến cẩm nang riêng của nó).
Tại sao quản lý tri thức nên là một phần trong bộ bảo mật của bạn
Mặc dù các công cụ SOAR ngày nay có thể giúp phát hiện các chỉ báo mối đe dọa và chuẩn bị chúng cho các nhà phân tích con người, nhưng thường trường hợp rằng các công cụ chỉ đơn giản là không đủ để phản ứng với các sự cố và theo dõi chúng đến khi giải quyết.
Phân tích bảo mật chính xác, phòng ngừa và phản ứng vẫn phụ thuộc vào con người và nghệ thuật vận hành bất tận của việc chia sẻ tri thức.
Nhân viên bảo mật thì quá ít và bị hạn chế thời gian để có thể ứng phó qua mỗi sự cố mới. Các tài liệu dễ dàng truy cập, được cập nhật và có thể lặp lại là nền tảng để làm việc hiệu quả hơn trong một môi trường luôn có thể bị tấn công.
