Păstrați oamenii la curent în operațiunile SOC

Oamenii au o reputație binemeritată de a fi cea mai slabă verigă în securitatea cibernetică a organizațiilor de orice dimensiune. Fie că este vorba de un specialist IT care configurează greșit o setare de firewall, de un inginer DevOps care nu reușește să securizeze o găleată de stocare în cloud sau de un utilizator de afaceri nefericit care se îndrăgește de o înșelătorie de tip phishing, marea majoritate a încălcărilor de securitate cibernetică sunt cauzate în principal de eroarea umană care creează vulnerabilități exploatabile. Rezultatul este că multe slăbiciuni evitabile sunt urmărite de oportuniști criminali, activate de instrumente ieftine și abundente de criminalitate cibernetică.

Din fericire, oamenii care lucrează în centrul de operațiuni de securitate (SOC), analiștii de nivel 1 și 2 din prima linie a apărării cibernetice, sunt cea mai puternică verigă în operațiunile de securitate cibernetică. Ele trebuie ținute la curent, în mod ideal, efectuând sarcini de valoare mai mare decât să țină „ochii pe sticlă” pentru a revizui telemetria de securitate.

Instrumente pentru asistarea, nu înlocuirea oamenilor

Căutarea tehnologiei pentru a ne ajuta să securizăm tehnologia este abordarea corectă. Serverele, aplicațiile Web, punctele finale, dispozitivele de rețea și măsurile de securitate din peisajul digital al unei companii produc volume masive de telemetrie de securitate și alerte care trebuie monitorizate și analizate, dar cele mai multe se dovedesc a fi benigne.

Identificarea alertelor semnificative în fluxurile de evenimente cu volum mare este locul perfect pentru regulile de corelare și nesupravegheate. masina de învățare (ML) algoritmi care combină cunoștințele umane și inteligența amenințărilor cu învățarea și îmbunătățirea continuă. Aparatele pot gestiona viteza și scara necesare pentru screening-ul inițial al fluxului de volum mare de jurnale de evenimente și alerte. De asemenea, algoritmii nu obosesc sau au o lipsă de atenție, nu pleacă în vacanță sau nu se îmbolnăvesc.

Automatizarea acestei fațete a operațiunilor SOC permite acestea Instrumente bazate pe inteligență artificială pentru a face munca obositoare de a elimina falsele pozitive și de a corela și de a evidenția alerte reale în timp real. Automatizarea poate face, de asemenea, un pas mai departe, aplicând reguli în manuale pentru a îmbogăți alertele cu context (ce mașină sau utilizator, ce s-a întâmplat, când), să conțină activități suspecte în rețea și să declanșeze un răspuns automat în cazuri de utilizare bine definite.

Rezultatul poate fi reducerea la minimum a volumului de alerte cu un factor de 10 sau mai mult, de la 10,000 pe zi la 1,000 sau mai puțin. Această reducere a zgomotului economisește până la 50% din forța de muncă expert SOC, crescând dramatic eficiența și eficacitatea SOC.

Oamenii sunt cei care prind infractorii cibernetici în acțiune

Acest tip de automatizare îi eliberează pe analiștii umani experți să își folosească experiența, abilitățile, intuiția și rezolvarea problemelor în căutarea infractorilor cibernetici activi în mediul dumneavoastră. Automatizarea hrănește analiștii SOC juniori care triează rezultatele prin aplicarea inteligenței umane pentru a recunoaște modele, a evalua anomaliile, a elimina fals pozitiveși identificarea alertelor care necesită o evaluare umană suplimentară.

De exemplu, John din HR accesează de obicei două baze de date în timpul programului obișnuit de lucru. Vine o alertă că John a accesat o a treia bază de date într-o sâmbătă. Doar un om poate determina dacă acest nou comportament este anormal, dar nu amenință. După ce analistul SOC anunță departamentul IT despre activitatea neașteptată a bazei de date, IT confirmă că lui John i s-a acordat acces temporar la datele suplimentare, care sunt legate de HR.

După triajul de către analiștii SOC juniori, alertele cu prioritate înaltă sunt transmise analiștilor seniori SOC. Acești specialiști calificați în securitate sunt însărcinați să investigheze alertele și să identifice de unde provine un atac, grupurile de criminalitate cibernetică din spatele atacului, metodele pe care le folosesc, mișcarea laterală observată și timpul de așteptare al atacatorilor. Experții SOC propun, de asemenea, strategii de atenuare și eradicare.

Oamenii sunt esențiali atunci când identifică atacuri care traversează diferite sisteme, aplicații și metode de acces. Oamenii pricepuți au fost cei care au descoperit activitate nouă din partea lui Hafnium. Infractorii cibernetici din statul național au exploatat vulnerabilitățile din serverele Microsoft Exchange pentru a fura e-mailuri, a compromite rețelele și a se muta lateral în organizațiile afectate. Aceste incursiuni au avut loc timp de trei luni înainte de descoperiri creditat de Microsoft cercetătorilor de la firmele de securitate Volexity și Dubex.

Intrebari cu cheie

Organizațiile de orice dimensiune, dar în special întreprinderile mijlocii și mai mari, pot beneficia de faptul că SOC-urile lor folosesc inteligența artificială, ML nesupravegheată și automatizarea pentru a elimina sarcina de screening a jurnalelor de evenimente de la primul nivel de la analiștii juniori și pentru a oferi informații pe care analiștii seniori o pot folosi în investigatii. O astfel de automatizare este necesară pentru a gestiona volumul, viteza și varietatea în continuă creștere a telemetriei de securitate. Cu toate acestea, nu poate elimina nevoia unui analist uman expert.

Analiștii SOC nu trebuie să fie îngrijorați de securitatea locului de muncă în fața ML și automatizării. Mai degrabă, ar trebui să salută productivitatea îmbunătățită și libertatea pe care o oferă automatizarea pentru a-și folosi inteligența și creativitatea pentru activități de valoare mai mare, cum ar fi cercetarea, analiza amenințărilor, remedierea și vânarea amenințărilor.