לבני אדם יש מוניטין ראוי של היותם החוליה החלשה ביותר באבטחת הסייבר בכל גודל של ארגון. בין אם מדובר במומחה IT שמגדיר באופן שגוי הגדרת חומת אש, מהנדס DevOps שנכשל באבטחת דלי אחסון בענן, או משתמש עסקי אומלל שנפל להונאת דיוג, הרוב המכריע של הפרות אבטחת הסייבר נגרמות בעיקר משגיאות אנוש היוצרות פגיעויות ניתנות לניצול. התוצאה היא חולשות רבות הניתנות להימנע שנחקר על ידי אופורטוניסטים פליליים המאפשרים באמצעות כלי פשיעה סייבר זולים ושפעים מהמקצוע.
למרבה המזל, בני האדם שעובדים במרכז המבצעים האבטחה (SOC), האנליסטים Tier 1 ו-Tier 2 בקו החזית של הגנת הסייבר, הם החוליה החזקה ביותר בפעולות אבטחת סייבר. הם חייבים להיות מעודכנים, באופן אידיאלי לבצע משימות בעלות ערך גבוה יותר מאשר לשמור "עיניים על הזכוכית" כדי לבדוק טלמטריית אבטחה.
כלים לסיוע, לא להחלפה, לבני אדם
הסתכלות על טכנולוגיה שתעזור לנו לאבטח את הטכנולוגיה היא הגישה הנכונה. השרתים, יישומי האינטרנט, נקודות הקצה, התקני הרשת ואמצעי האבטחה בנוף הדיגיטלי של חברה מייצרים כמויות עצומות של טלמטריית אבטחה והתראות שיש לנטר ולנתח, אבל רובן מתגלות כשפירות.
זיהוי ההתראות המשמעותיות בזרמי אירועים בנפח גבוה הוא העבודה המושלמת לכללי מתאם וללא פיקוח למידת מכונה (ML) אלגוריתמים המשלבים ידע אנושי ואינטליגנציה של איומים עם למידה ושיפור מתמשכים. מכונות יכולות להתמודד עם המהירות והקנה מידה הנדרשים להקרנה הראשונית של זרם הווליום הגבוה של יומני אירועים והתראות. כמו כן, אלגוריתמים לא מתעייפים או סובלים מחוסר תשומת לב, יוצאים לחופשה או מתקשרים לחולים.
אוטומציה של פן זה של פעולות SOC מאפשרת זאת כלים מבוססי בינה מלאכותית לעשות את העבודה המייגעת של לנפות תוצאות חיוביות שגויות ולקשר ולהציג התראות אמיתיות בזמן אמת. אוטומציה יכולה גם ללכת צעד קדימה, להחיל כללים בספרי משחק כדי להעשיר התראות בהקשר (איזה מכונה או משתמש, מה קרה, מתי), להכיל פעילות חשודה ברשת ולהפעיל תגובה אוטומטית במקרים של שימוש מוגדרים היטב.
התוצאה יכולה להיות מזעור נפח ההתראות בפקטור של 10 או יותר, מ-10,000 ביום ל-1,000 או פחות. הפחתת רעש זו חוסכת עד 50% מעבודת SOC מומחים, ומגדילה באופן דרמטי את היעילות והיעילות של SOC.
בני אדם הם אלה שתופסים את פושעי הסייבר בפעולה
סוג זה של אוטומציה משחרר אנליסטים אנושיים מומחים להשתמש בניסיונם, הכישורים, האינטואיציה ופתרון הבעיות שלהם במצוד אחר פושעי סייבר הפעילים בסביבתך. האוטומציה מאכילה אנליסטים זוטרים של SOC שמבחנים את הממצאים על ידי יישום אינטליגנציה אנושית לזיהוי דפוסים, הערכת חריגות, ביטול תוצאות חיוביות שגויות, וזיהוי התראות הדורשות הערכה אנושית נוספת.
לדוגמה, ג'ון ב-HR ניגש בדרך כלל לשני מסדי נתונים במהלך שעות העבודה הרגילות. מגיעה התראה שג'ון ניגש למסד נתונים שלישי בשבת. רק אדם יכול לקבוע אם התנהגות חדשה זו היא חריגה אך לא מאיימת. לאחר שהאנליסט של SOC מודיע למחלקת ה-IT על פעילות מסד הנתונים הבלתי צפויה, ה-IT מאשר שלג'ון ניתנה גישה זמנית לנתונים הנוספים, הקשורים ל-HR.
לאחר בדיקה על ידי אנליסטים זוטרים של SOC, התראות בעדיפות גבוהה מועברות לאנליסטים בכירים ב-SOC. מומחי אבטחה מיומנים אלה מופקדים על חקירת ההתראות וזיהוי מהיכן מגיעה תקיפה, קבוצות פשעי הסייבר מאחורי המתקפה, שיטות בהן הן משתמשות, תנועה צידית שנצפה וזמני השהייה של התוקפים. מומחי SOC מציעים גם אסטרטגיות להפחתה ומיגור.
בני אדם חיוניים ביותר בעת זיהוי התקפות החוצות מערכות, יישומים ושיטות גישה שונות. היו אלה בני אדם מיומנים שחשפו פעילות חדשה מצד הפניום. פושעי הסייבר של המדינה הלאומית ניצלו נקודות תורפה בשרתי Microsoft Exchange כדי לגנוב מיילים, לסכן רשתות ולעבור לרוחב בארגונים שנפגעו. פלישות אלו התרחשו במשך שלושה חודשים לפני הגילויים זיכוי מיקרוסופט לחוקרים בחברות האבטחה Volexity ו-Dubex.
המנות העיקריות
ארגונים בכל גודל, אך במיוחד ארגונים בינוניים וגדולים יותר, יכולים להפיק תועלת מכך שה-SOC שלהם ישתמשו בבינה מלאכותית, ב-ML ללא פיקוח ואוטומציה כדי להסיר את הנטל של סינון יומני אירועים ברמה הראשונה מאנליסטים זוטרים ולספק אינטליגנציה שאנליסטים בכירים יכולים להשתמש בה. חקירות. אוטומציה כזו נחוצה כדי להתמודד עם הנפח, המהירות והמגוון ההולכים וגדלים של טלמטריית אבטחה. עם זאת, זה לא יכול לבטל את הצורך באנליטיקאי האנושי המומחה.
אנליסטים של SOC לא צריכים להיות מודאגים לגבי ביטחון תעסוקתי מול ML ואוטומציה. במקום זאת, עליהם לברך על הפרודוקטיביות המשופרת והחופש האוטומציה מספקת כדי להשתמש באינטליגנציה וביצירתיות שלהם לפעילויות בעלות ערך גבוה יותר כמו מחקר, ניתוח איומים, תיקון וציד איומים.
