Центры управления корпоративной безопасностью (SOC) существуют с единственной целью обнаружения и реагирования на угрозы для предприятия — внешние или внутренние. В сфере кибербезопасности защитники никогда не опережали противников, а чаще всего значительно отставали и с трудом восстанавливались после кибератак. Проблема сосредоточена вокруг эффективности и актуальности алгоритмов и методологий обнаружения. Все зависит от обнаружения, и тем не менее, многие предприятия почти исключительно продолжают лечить симптомы — например, громкость / шум оповещения, автоматизацию сортировки / реагирования и т. д. — не обращая внимания, но в одиночку решая основную проблему: плохое обнаружение.
Что касается утечек данных и угроз кибербезопасности, процессы SOC не сильно изменились за десятилетие. Регистрация общих источников данных (например, необработанных событий, таких как журналы контроллера домена, и обработанных событий, таких как предупреждения брандмауэра) в SIEM (например, Splunk) обычно является отправной точкой. Затем следуют правила обнаружения угроз, обычно сотни из них, написанные аналитиками угроз/разведки, а иногда и IR-аналитиками, в SIEM, чтобы произвести несколько примечательных «инцидентов» для расследования, за которыми следует специальный поиск угроз профессионалами с использованием инструментов, человеческое наблюдение , сценарии и т. д., чтобы найти другие заслуживающие внимания «происшествия», которые обычные правила в SIEM могли пропустить или не вызвать как «происшествие».
Наконец, есть реагирование на инциденты, процесс реагирования для расследования части «инцидентов» и соответствующего реагирования, и, если повезет, возможно, даже добавить немного автоматизации. С точки зрения руководителя службы безопасности и директора по информационной безопасности отчетность важна, но это почти полностью ручной сбор нестандартных метрик, редко в повторяемой форме, для визуального понимания уровня готовности организации к безопасности.
В то время как средства обнаружения демонстрируют скромные улучшения, эти достижения нивелируются быстро меняющейся сложностью ландшафта угроз, увеличением объема и частоты как новых, так и повторяющихся угроз. Согласно отчету Verizon Breach Report за 2020 год, число корпоративных атак увеличилось на 87% по сравнению с прошлым годом. И этот процент был таким же высоким в течение ряда лет и не показывает никаких признаков замедления.
Решение головоломки обнаружения
Одна серьезная проблема, с которой сталкиваются профессионалы SOC, не изменится и, вероятно, не может измениться: никогда не будет достаточно упреждающего обнаружения или превентивного контента для смягчения угроз безопасности до того, как они возникнут. Проще говоря, никогда не будет мира, в котором защитники опережают агрессоров — лучшее, что мы можем сделать, — это раннее обнаружение и смягчение последствий. Согласно отчету IBM Cost of a Data Breach Report за 2020 год, среднее время воздействия метода атаки составляет колоссальные 280 дней до обнаружения и устранения последствий.
Но большая проблема на самом деле заключается в слиянии отдельных проблем, с которыми сталкиваются все специалисты по безопасности. Недостаточная способность обнаружения, усугубляемая отсутствием дополнений от алгоритмов машинного обучения, не только не позволяет адекватно обнаруживать угрозы, но также создает значительный шум и утомляет перегруженных специалистов по реагированию на инциденты (IR). Этот идеальный шторм пересекающихся проблем приводит к неспособности разумно реагировать на шаблоны атак, использовать отдельные индикаторы для поиска угроз и массово дополнять людей машинным обучением.
Несмотря на значительные улучшения в обнаружении, проблемы все еще сохраняются. Некоторые улучшения являются просто дополнительными, в то время как другие являются частичными решениями. Наиболее эффективным методом обнаружения является построение графика по релевантным и потенциально показательным сигналам и формирование обнаружений в виде шаблонов атак, а не дискретных сигналов. Это достаточно простая для понимания концепция, но она не была успешно реализована в большинстве корпоративных SOC. Сегодня для того, чтобы соединить эти точки — график, если хотите, — и определить потенциальные модели атак, нужны очень умные, хорошо обученные специалисты по безопасности. Такие усилия должны быть дополнены и, следовательно, значительно ускорены машинами — это мощные алгоритмы и фреймворки ИИ, которые могут привнести в корпоративные SOC эффект множителя силы.
Обнаружение сложно
Начнем с того, что большинство корпоративных SOC не осознают, ощутимым и измеримым образом, состояние своей готовности к безопасности по отношению к тактикам и методам злоумышленников; другими словами, не существует всеобъемлющей системы оценок, позволяющей им оценить собственное состояние готовности к безопасности с точки зрения защиты от обнаружения.
Фреймворк MITRE ATT&CK — прекрасный пример такого шаблона для измерения. Это должно определяться журналированием источников данных, топологией предприятия, приоритетами предприятия, текущим ландшафтом угроз и другими соответствующими факторами, такими как навыки и текущий охват. Следующим важным аспектом сложности этой проблемы является интеллектуальное обнаружение, способное графически соединять точки для обнаружения целых шаблонов и позволяющее легко принимать комплексные меры по смягчению последствий в разумно короткие сроки. Аналитики угроз безопасности должны уметь визуализировать сценарии обнаружения шаблонов атак и легко их реализовывать, а не обременяться сложным кодом, подходящим для базового механизма выполнения, например, SIEM. Такое построение сценария обнаружения не должно выполняться в форме первичного исследования/усилия — есть вероятность, что кто-то другой уже решил проблему, поэтому было бы намного эффективнее иметь возможность сотрудничать и делиться такими решениями, по крайней мере, среди доверенных лиц. партнеры.
Конечно, для совместного использования любого реализуемого кода необходима его стандартизация, а также унификация базовых моделей данных, которые трудно решить. Наконец, специалистам по реагированию на инциденты нужны расширенные оповещения, чтобы исключить мучительную ручную сортировку и расследование, что является еще одной областью проб и ошибок.
Таким образом, ниже приведены основные причины, по которым эту проблему трудно решить:
- Нет единой метрики для оценки вашей среды.
- Создание надежного кода обнаружения для решения сложных шаблонов атак является сложной задачей.
- Инструментам обнаружения угроз не хватает необходимой стандартизации, что еще больше усугубляется их распространением.
- Отсутствие структурированного сотрудничества между коллегами заставляет потенциальных партнеров работать на основе первых принципов.
- Отсутствие унифицированных, расширенных, действенных предупреждений для охоты, сортировки и реагирования.
Более сетевое взаимодействие, специально предназначенное для сотрудников службы безопасности, сделает человеческий опыт менее утомительным и более продуктивным.
Идеальное решение для улучшения возможностей обнаружения в SOC
Идеальное решение должно предлагать:
- Автоматизированная, всесторонняя и непрерывная модель оценки и оценки, которая предоставляет руководителям по информационной безопасности и SOC-менеджерам единообразное представление об их готовности к обнаружению угроз, а также рычаги для корректировки для улучшения и поддержания оценки.
- Механизм рекомендаций на основе искусственного интеллекта, который предоставляет пользователям SOC актуальные и персонализированные варианты использования угроз, о которых им нужно беспокоиться, на основе их среды, истории уязвимости и текущего ландшафта угроз.
- Интеллектуальная среда для построения шаблонов обнаружения, желательно без кода, которая использует высокорелевантную логику и генерирует небольшое количество высокоэффективных предупреждений для сортировки/ответа.
- Возможность совместной работы коллег для обмена кодом, контекстом, передовым опытом и т. д. между командами, а также между предприятиями, с возможностью совместного использования кода, который может быть развернут в разных средах (в отличие от сегодняшнего неэффективного и шумного обмена сигналами IOC через ISAC).
- Удобный, визуальный, сквозной, объединяющий опыт для специалистов по безопасности, направленный на снижение утомляемости и повышение качества и удовлетворенности их повседневной жизнью.
Общее решение должно давать специалистам по безопасности и предприятию единообразное представление о готовности системы безопасности, а также о необходимых реализациях для поддержания высокого охвата и насыщенности предупреждений.
Содействие сотрудничеству между коллегами является обязательным условием для того, чтобы быть в курсе, если не опережать ландшафт угроз, и предоставление экспертам в области безопасности возможности быстро и эффективно создавать контент/логику без использования кода является, прежде всего, ключом к успеху будущий СОК. Совместный подход к обнаружению угроз безопасности без кода позволит экспертам защитить дом, а не полагаться на неэффективный, ошибочный перевод с помощью разработчиков и инструментов программирования.
Будущий SOC будет сочетать в себе многопродуктовое, лучшее в своем классе, независимое от инструментов обнаружение угроз со средой реагирования, в которой профессионалы в области безопасности получают наилучшую доступную поддержку. Разрабатывая надежный уровень релевантного, настраиваемого и не требующего кода обнаружения угроз, группы SOC могут быть более гибкими, точными и более точно автоматизировать свои ответные действия. Инвестиции в этот тип совместного обнаружения помогут найти сложные и актуальные модели атак и сценарии угроз и, в конечном итоге, помогут обеспечить успех SOC.