Модернизация центра управления безопасностью: 8 ключевых соображений

Модернизация центра управления безопасностью: 8 ключевых соображений
30.04.2022

Хотя за последние 2 года специалисты по кибербезопасности, безусловно, многого добились, работая удаленно, отрасль остается в шатком положении в 2022 году, поэтому суета уместна, пишет издание CSO

На данный момент мировая ИБ находится в точке, где масштаб и сложность исторических средств защиты либо не работают, либо натянуты до предела. Это означает, что директорам по информационной безопасности необходимо подумать о трансформации системы безопасности, и при этом в игру вступают все процессы и уровни стека технологий безопасности.

Прогнозируется высокий уровень ажиотажа вокруг «платформ» безопасности, таких как расширенное обнаружение и реагирование (XDR), облачные платформы защиты приложений (CNAPP), технология безопасного пограничного доступа (SASE) и нулевое доверие - все важные темы, однако ожидается отраслевая шумиха и связанная с этим путаница пользователей. 

Центр управления безопасностью (SOC) - это место, где, как говорится, коса находит на камень в сфере информационной безопасности. Аналитикам SOC поручено своевременно обнаруживать угрозы, исследовать угрозы для определения их масштабов и радиуса поражения, пресекать кибератаки для предотвращения или сведения к минимуму ущерба, работать с ИТ-операциями для полного восстановления бизнеса и операций, а затем использовать эти обучающие моменты, чтобы еще больше усилить свою защиту.

Но с годами эти процессы стали громоздкими. Персонал SOC сталкивается с постоянным потоком предупреждений, что вынуждает их реагировать с помощью автономных точечных инструментов и ручных процессов. И не стоит забывать о глобальной нехватке навыков кибербезопасности. Согласно исследованию ESG - The Life and Times of Cybersecurity Professionals 2021 - 57% организаций страдают от нехватки навыков кибербезопасности, что приводит к увеличению рабочей нагрузки на персонал, высокому уровню выгорания и неспособности специалистов по безопасности изучать и использовать технологии кибербезопасности в полной мере.

Рекомендации по планированию модернизации SOC

Эти проблемы должны приводить к реву сирен в офисе директора по информационной безопасности, что говорит о необходимости модернизации SOC. При построении этих планов необходимо учитывать:

Архитектура SOC. Сегодняшние автономные инструменты завтра станут интероперабельной технологической архитектурой. Как бы это ни называлось: архитектурой платформы операций и аналитики безопасности (SOAPA, термин ESG) или сеткой кибербезопасности (термин Gartner), разрозненные технологии, такие как EDR, NDR, SIEM, TIP и SOAR, нуждаются в тесной интеграции. Некоторые организации называют современный SOC центром синтеза, объединяющим исследователей угроз, аналитиков SOC и специалистов по реагированию на инциденты. Этот мэшап может работать только в том случае, если он привязан к открытой, настраиваемой архитектуре SOC.

Масштаб и производительность. Как говорится, «все данные - это данные безопасности». Другими словами, команды SOC собирают, обрабатывают и анализируют терабайты данных из инструментов безопасности, компонентов ИТ-инфраструктуры, приложений, CSP, поставщиков SaaS, хранилищ идентификационных данных, каналов аналитики угроз и многое другое, чтобы выяснить, находятся ли они под атакой. Для этого требуется хорошо масштабируемая облачная серверная часть, которая может принимать потоки данных в режиме реального времени и обеспечивать приемлемое время отклика на сложные запросы.

Инженерия обнаружения. В то время как поставщики технологий стали лучше создавать содержимое правил обнаружения, командам SOC нужны более совершенные инструменты для разработки, изменения и совместного использования настраиваемых наборов правил. Это означает развитие опыта работы с правилами Yara (и Yara-L для Google Chronicle), правилами Sigma и правилами Kestrel, а также участие в проектах с открытым исходным кодом, таких как SNORT, BRO/Zeek, Suricata и т. д. В этом могут помочь специализированные поставщики.

Привязка к MITRE ATT&CK. Платформа MITRE ATT&CK стала общепринятым языком операций по обеспечению безопасности, но многие организации так и не стали использовать ее в качестве справочного источника. Модернизация SOC делает еще один шаг вперед, вводя в действие MITRE ATT&CK для таких случаев использования, как обнаружение угроз, оценка/инжиниринг средств управления, отслеживание поведения злоумышленника и непрерывное тестирование. Да, инструменты безопасности должны поддерживать MITRE ATT&CK, но это должно выходить за рамки простого связывания предупреждений с тактиками и методами в матрице. Скорее, они должны вносить свой вклад и участвовать в этих более полных вариантах использования.

Контекст, основанный на риске. Когда актив подвергается атаке, аналитикам безопасности необходимо понять, является ли он сервером для тестирования/разработки или облачной рабочей нагрузкой, на которой размещено критически важное для бизнеса приложение. Чтобы получить эту перспективу, модернизация SOC объединяет данные об угрозах, уязвимостях и бизнес-контексте для аналитиков. Беглый взгляд на отрасль подтверждает, что такое смешение уже происходит. Cisco приобрела Kenna Security для управления уязвимостями на основе рисков, Mandiant заполучила Intrigue для управления поверхностью атаки, а Palo Alto поглотила Expanse Networks для ASM. Между тем, лидер SIEM Splunk предоставляет оповещения на основе рисков, чтобы помочь аналитикам расставить приоритеты в ответных действиях и действиях по исправлению. Модернизация SOC делает это сочетание обязательным.

Постоянное тестирование. Модернизация SOC включает в себя стремление к постоянному совершенствованию. Это означает понимание поведения субъектов угроз, подтверждение того, что средства защиты могут противостоять современным атакам, а затем укрепление любых возникающих пробелов в защите. Именно для этой цели директора по информационной безопасности движутся к постоянному объединению красных и фиолетовых команд (атакующих и защищающихся тестировщиков). Таким образом, модернизация SOC будет стимулировать спрос на средства непрерывного тестирования и управления путями атак от таких поставщиков, как AttackIQ, Cymulate, Randori, SafeBreach и XMCyber.

Технология обмана. Это может быть немного спорным, поскольку большинство специалистов по кибербезопасности считают, что технология обмана подходит только для элитных практиков - эквивалент Дамблдора в информационной безопасности. Это было верно 10 лет назад, но не сейчас. Современные технологии обмана могут понимать активы, личности и данные организации, а затем эмулировать их, создавая настоящие наживки и приманки. Лучшие системы обмана, такие как ZScaler/Smokescreen, сами делают большую часть работы. Столкнувшись с такими угрозами, как программы-вымогатели, которые могут нарушить все бизнес-операции, я считаю, что пришло время добавить технологию обмана в качестве уровня защиты (и не только) для модернизации SOC.

Автоматизация процессов. Специалисты занимаются этим уже несколько лет, но модернизация SOC будет повышать эффективность автоматизации процессов обеспечения безопасности. Это связано с тем, что технологическая интеграция упрощает работу. Инструменты SOAR с минимальным кодом/без кода, такие как Torq, уменьшили потребность в Python, а многие технологии SOC предоставляют готовые шаблоны автоматизации и рабочие процессы. Наконец, модернизация SOC дает директорам по информационной безопасности возможность оценивать и реконструировать процессы, делая их более удобными для автоматизации.

Модернизация SOC выходит за рамки только технологий, предоставляя организациям возможность переоценить навыки и роли, поддерживая при этом распределенную рабочую силу.

Автор: Jon Oltsik

Комментарии 0