Центры управления корпоративной безопасностью (SOC) существуют с единственной целью обнаружения и реагирования на угрозы для предприятия — внешние или внутренние. В сфере кибербезопасности защитники никогда не опережали противников, а чаще всего значительно отставали и с трудом восстанавливались после кибератак. Проблема сосредоточена вокруг эффективности и актуальности алгоритмов и методологий обнаружения. Все зависит от обнаружения, и тем не менее, многие предприятия почти исключительно продолжают лечить симптомы — например, громкость / шум оповещения, автоматизацию сортировки / реагирования и т. д. — не обращая внимания, но в одиночку решая основную проблему: плохое обнаружение.

Что касается утечек данных и угроз кибербезопасности, процессы SOC не сильно изменились за десятилетие. Регистрация общих источников данных (например, необработанных событий, таких как журналы контроллера домена, и обработанных событий, таких как предупреждения брандмауэра) в SIEM (например, Splunk) обычно является отправной точкой. Затем следуют правила обнаружения угроз, обычно сотни из них, написанные аналитиками угроз/разведки, а иногда и IR-аналитиками, в SIEM, чтобы произвести несколько примечательных «инцидентов» для расследования, за которыми следует специальный поиск угроз профессионалами с использованием инструментов, человеческое наблюдение , сценарии и т. д., чтобы найти другие заслуживающие внимания «происшествия», которые обычные правила в SIEM могли пропустить или не вызвать как «происшествие».

Наконец, есть реагирование на инциденты, процесс реагирования для расследования части «инцидентов» и соответствующего реагирования, и, если повезет, возможно, даже добавить немного автоматизации. С точки зрения руководителя службы безопасности и директора по информационной безопасности отчетность важна, но это почти полностью ручной сбор нестандартных метрик, редко в повторяемой форме, для визуального понимания уровня готовности организации к безопасности.

В то время как средства обнаружения демонстрируют скромные улучшения, эти достижения нивелируются быстро меняющейся сложностью ландшафта угроз, увеличением объема и частоты как новых, так и повторяющихся угроз. Согласно отчету Verizon Breach Report за 2020 год, число корпоративных атак увеличилось на 87% по сравнению с прошлым годом. И этот процент был таким же высоким в течение ряда лет и не показывает никаких признаков замедления.

Решение головоломки обнаружения

Одна серьезная проблема, с которой сталкиваются профессионалы SOC, не изменится и, вероятно, не может измениться: никогда не будет достаточно упреждающего обнаружения или превентивного контента для смягчения угроз безопасности до того, как они возникнут. Проще говоря, никогда не будет мира, в котором защитники опережают агрессоров — лучшее, что мы можем сделать, — это раннее обнаружение и смягчение последствий. Согласно отчету IBM Cost of a Data Breach Report за 2020 год, среднее время воздействия метода атаки составляет колоссальные 280 дней до обнаружения и устранения последствий.

Но большая проблема на самом деле заключается в слиянии отдельных проблем, с которыми сталкиваются все специалисты по безопасности. Недостаточная способность обнаружения, усугубляемая отсутствием дополнений от алгоритмов машинного обучения, не только не позволяет адекватно обнаруживать угрозы, но также создает значительный шум и утомляет перегруженных специалистов по реагированию на инциденты (IR). Этот идеальный шторм пересекающихся проблем приводит к неспособности разумно реагировать на шаблоны атак, использовать отдельные индикаторы для поиска угроз и массово дополнять людей машинным обучением.

Несмотря на значительные улучшения в обнаружении, проблемы все еще сохраняются. Некоторые улучшения являются просто дополнительными, в то время как другие являются частичными решениями. Наиболее эффективным методом обнаружения является построение графика по релевантным и потенциально показательным сигналам и формирование обнаружений в виде шаблонов атак, а не дискретных сигналов. Это достаточно простая для понимания концепция, но она не была успешно реализована в большинстве корпоративных SOC. Сегодня для того, чтобы соединить эти точки — график, если хотите, — и определить потенциальные модели атак, нужны очень умные, хорошо обученные специалисты по безопасности. Такие усилия должны быть дополнены и, следовательно, значительно ускорены машинами — это мощные алгоритмы и фреймворки ИИ, которые могут привнести в корпоративные SOC эффект множителя силы.

Обнаружение сложно

Начнем с того, что большинство корпоративных SOC не осознают, ощутимым и измеримым образом, состояние своей готовности к безопасности по отношению к тактикам и методам злоумышленников; другими словами, не существует всеобъемлющей системы оценок, позволяющей им оценить собственное состояние готовности к безопасности с точки зрения защиты от обнаружения.

Фреймворк MITRE ATT&CK — прекрасный пример такого шаблона для измерения. Это должно определяться журналированием источников данных, топологией предприятия, приоритетами предприятия, текущим ландшафтом угроз и другими соответствующими факторами, такими как навыки и текущий охват. Следующим важным аспектом сложности этой проблемы является интеллектуальное обнаружение, способное графически соединять точки для обнаружения целых шаблонов и позволяющее легко принимать комплексные меры по смягчению последствий в разумно короткие сроки. Аналитики угроз безопасности должны уметь визуализировать сценарии обнаружения шаблонов атак и легко их реализовывать, а не обременяться сложным кодом, подходящим для базового механизма выполнения, например, SIEM. Такое построение сценария обнаружения не должно выполняться в форме первичного исследования/усилия — есть вероятность, что кто-то другой уже решил проблему, поэтому было бы намного эффективнее иметь возможность сотрудничать и делиться такими решениями, по крайней мере, среди доверенных лиц. партнеры.

Конечно, для совместного использования любого реализуемого кода необходима его стандартизация, а также унификация базовых моделей данных, которые трудно решить. Наконец, специалистам по реагированию на инциденты нужны расширенные оповещения, чтобы исключить мучительную ручную сортировку и расследование, что является еще одной областью проб и ошибок.

Таким образом, ниже приведены основные причины, по которым эту проблему трудно решить:

  1. Нет единой метрики для оценки вашей среды.
  2. Создание надежного кода обнаружения для решения сложных шаблонов атак является сложной задачей.
  3. Инструментам обнаружения угроз не хватает необходимой стандартизации, что еще больше усугубляется их распространением.
  4. Отсутствие структурированного сотрудничества между коллегами заставляет потенциальных партнеров работать на основе первых принципов.
  5. Отсутствие унифицированных, расширенных, действенных предупреждений для охоты, сортировки и реагирования.

Более сетевое взаимодействие, специально предназначенное для сотрудников службы безопасности, сделает человеческий опыт менее утомительным и более продуктивным.

Идеальное решение для улучшения возможностей обнаружения в SOC

Идеальное решение должно предлагать:

  1. Автоматизированная, всесторонняя и непрерывная модель оценки и оценки, которая предоставляет руководителям по информационной безопасности и SOC-менеджерам единообразное представление об их готовности к обнаружению угроз, а также рычаги для корректировки для улучшения и поддержания оценки.
  2. Механизм рекомендаций на основе искусственного интеллекта, который предоставляет пользователям SOC актуальные и персонализированные варианты использования угроз, о которых им нужно беспокоиться, на основе их среды, истории уязвимости и текущего ландшафта угроз.
  3. Интеллектуальная среда для построения шаблонов обнаружения, желательно без кода, которая использует высокорелевантную логику и генерирует небольшое количество высокоэффективных предупреждений для сортировки/ответа.
  4. Возможность совместной работы коллег для обмена кодом, контекстом, передовым опытом и т. д. между командами, а также между предприятиями, с возможностью совместного использования кода, который может быть развернут в разных средах (в отличие от сегодняшнего неэффективного и шумного обмена сигналами IOC через ISAC).
  5. Удобный, визуальный, сквозной, объединяющий опыт для специалистов по безопасности, направленный на снижение утомляемости и повышение качества и удовлетворенности их повседневной жизнью.

Общее решение должно давать специалистам по безопасности и предприятию единообразное представление о готовности системы безопасности, а также о необходимых реализациях для поддержания высокого охвата и насыщенности предупреждений.

Содействие сотрудничеству между коллегами является обязательным условием для того, чтобы быть в курсе, если не опережать ландшафт угроз, и предоставление экспертам в области безопасности возможности быстро и эффективно создавать контент/логику без использования кода является, прежде всего, ключом к успеху будущий СОК. Совместный подход к обнаружению угроз безопасности без кода позволит экспертам защитить дом, а не полагаться на неэффективный, ошибочный перевод с помощью разработчиков и инструментов программирования.

Будущий SOC будет сочетать в себе многопродуктовое, лучшее в своем классе, независимое от инструментов обнаружение угроз со средой реагирования, в которой профессионалы в области безопасности получают наилучшую доступную поддержку. Разрабатывая надежный уровень релевантного, настраиваемого и не требующего кода обнаружения угроз, группы SOC могут быть более гибкими, точными и более точно автоматизировать свои ответные действия. Инвестиции в этот тип совместного обнаружения помогут найти сложные и актуальные модели атак и сценарии угроз и, в конечном итоге, помогут обеспечить успех SOC.