Szeroka automatyzacja operacji związanych z bezpieczeństwem cybernetycznym może zmienić zasady gry, a koncepcja automatyzacja zabezpieczeń oparta na podręcznikach postępuje szybko.
Cyberataki stają się coraz bardziej wyrafinowane, a ich skutki są coraz bardziej destrukcyjne na biznes i społeczeństwo wzrosting spektakularnie. Wiele organizacje są W związku z tym chcących zwiększyć swoje bezpieczeństwo możliwości monitorowania i reagowania na incydenty. Często są one ustalane w dedykowanych operacjach bezpieczeństwa cdania główne (SOC) i zespoły reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT).
Chociaż takie SOC i CSIRT znacznie rozwinęły się w ciągu ostatniej dekady, nadal istnieje ogromna przepaść pomiędzy atakującymi i obrońcami. A przede wszystkim gdzie może nastąpić zautomatyzowany cyberatak wystrzelony wykrycie i reakcja często zajmuje kilka sekund dni, tygodnie lub nawet miesiące.
Richarda Kerkdijkastarszy konsultant ds. technologii cyberbezpieczeństwa w firmie Holenderska niezależna firma badawcza TNOstwierdził: „Kiedy zespół SOC otrzymuje powiadomienie o podejrzeniu incydentu, musi sporządzić analizę i znaleźć najwłaściwszą reakcję.
„W przypadku powszechnych – znanych – zagrożeń i zdarzeń procedura reagowania jest często ujednolicona, ale podstawowe zadania, takie jak wyszukiwanie powiązanych zdarzeń lub porównywanie z dostępnymi źródłami informacji wywiadowczych, mogą przez cały czas być czasochłonne. A jeżeli wydarzenie jest bardziej wyjątkowe, analitycy wymagania kopać jeszcze głębiej.”
SOC i CSIRT operacje często w dużym stopniu zależą od człowiek wysiłku i wiedzy. Tto jest dokładnie to, co powoduje teraźniejszość niedopasowanie pomiędzy szybkością ataku a szybkością reakcji. Chyba że zasadnicze zmiany są zrobione, – stwierdził Kerkdijk brak równowagi będzie wzrosnąć jeszcze bardziej od praca SOC i zespoły CSIRT staje się coraz bardziej złożone.
„Infrastruktura chroniona przez zespoły SOC i CSIRT staje się coraz bardziej złożona i zróżnicowana” – powiedział. „Tradycyjne sieci lokalne są w tej chwili powiązane z wieloma różnymi sieciami oparte na chmurze usług i infrastruktury oraz dostępnych z wielu urządzeń (mobilnych). To sprawia, iż z natury trudno jest zrozumieć zdarzenie związane z bezpieczeństwemS w pełnym zakresie i przygotować skuteczną reakcję we wszystkich zastosowanych technologiach.”
Automatyzacja obrony
Aby odwrócić ten trend, będziemy potrzebować czegoś w rodzaju: zmiana zasad gry, I rozległy automatyzacja operacji związanych z cyberbezpieczeństwem może stać się właśnie tym.
„Procesy bezpieczeństwa operacyjnego mają duży potencjał automatyzacji” – powiedział Kerkdijk. „Oczywistym czynnikiem takiej automatyzacji jest przyspieszenie szybkości analizy i reakcji, ale może ona również odciążyć analityków bezpieczeństwa od rutynowych (powtarzalnych) zadań i zwolnić zasoby na bardziej złożone działania, takie jak polowanie na zagrożenia Lub przetwarzanie wywiad dotyczący zagrożeń cybernetycznych.”
Kluczowym osiągnięciem w automatyzacji SOC i CSIRT jest pojawienie się automatyzacji bezpieczeństwa opartej na podręcznikach. Istotą tej koncepcji jest to, iż określone, predefiniowane zdarzenia uruchamiają ustandaryzowany przepływ pracy, który jest wykonywany bez interwencji człowieka lub jedynie z jej ograniczonym udziałem. Takie przepływy pracy są rejestrowane w formacie do odczytu maszynowego podręczniki bezpieczeństwa które narzucają z góry określoną sekwencję zadań dochodzeniowych lub naprawczych.
„Tradycyjnie podręczniki i podręczniki reagowania na incydenty były udokumentowanymi instrukcjami dla analityków i operatorów” – powiedział Kerkdijk. „Jednak po skompilowaniu w formacie nadającym się do odczytu maszynowego ich wykonanie można zautomatyzować. Technologia automatycznego wykonywania podręcznika bezpieczeństwa już istnieje i jest powszechnie określana jako orkiestracja bezpieczeństwa, automatyzacja i reagowanie lub SOAR.
Automatyzacja zabezpieczeń oparta na podręcznikach
Kerdijk dodał: „SOC często korzystają z systemu zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM), który zbiera dane z chronionej infrastruktury i generuje zdarzenia oraz alerty, na podstawie których analitycy mogą monitorować. SOAR to rozwiązanie nowej generacji, w którym znaczna część reakcji jest zautomatyzowana”.
Obecne wdrożenia SOAR zwykle skupiają się na automatyzacji analizy zdarzeń (na przykład wyszukiwania powiązanych zdarzeń, które tradycyjnie obejmowały wklejanie kopii i naciśnięcie klawisza Alt pomiędzy różnymi ekranami).
Ostatecznie jednak SOAR mógłby również zaaranżować faktyczne złagodzenie incydentu poprzez automatyczną rekonfigurację kontroli bezpieczeństwa i funkcji sieciowych. Może to prowadzić do ogromnych oszczędności czasu. Kerdijk stwierdził, iż podjęcie ostatecznego kroku w kierunku w pełni zautomatyzowanego łagodzenia skutków incydentów często nie jest wyzwaniem technologicznym, ale organizacyjnym.
„Obecne SOC nie mają żadnych uprawnień do samodzielnego wprowadzania zmian w infrastrukturze lub mają je jedynie w ograniczonym zakresie” – stwierdził. „Procesy nakazują żądanie takich zmian od odpowiedzialnych zespołów technologicznych – zwykle poprzez złożenie zgłoszenia do pomocy technicznej. WChociaż zautomatyzowane wykonywanie działań responsywnych jest technicznie wykonalne, będzie to również wymagało ponownego rozważenia procedur konserwacji IT oraz mandatu zespołów SOC i CSIRT.
W końcu te systemy powinny pracować w sposób wysoce zautomatyzowany i wraz ze wzrostem autonomii. „Tak, to wymaga zaufania do takiego systemu” – powiedział Kerkdijk. „Jeszcze tam nie jesteśmy. Ttechnologia musi zostać rozwinięta do poziomu, któremu możemy zaufać, oraz Tkapelusz wymaga czasu.
Kolejny minus obecnych usług automatyzacji bezpieczeństwa cybernetycznego polega na tym, iż technologia ta jest często zastrzeżona. Mwiększość SOAR rozwiązania Czy W związku z tym specyficzne dla dostawcy, co oznacza, iż można wykonać tylko podręczniki w formacie określonym przez tego konkretnego dostawcę.
Standaryzacja podręczników
Ważnym wydarzeniem, które ma w tej chwili miejsce, jest to OAZA Jest standaryzacja bezpieczeństwo formaty podręczników. TNO wajest ściśle związana z nurtem Standard CACAOv2 Do zabezpieczenia odczytywalne maszynowo podręczniki. „Dzięki standaryzacji podręczniki stają się agnostyczne i niezależne od dostawcy SOAR, z którym współpracujesz” – powiedział Kerkdijk.
„Można je także udostępniać organizacjom, choćby jeżeli nie korzystają one z tego samego rozwiązania SOAR. Chwila podręcznik zabawS nie może być przejęte od innych organizacji jeden NA jeden, bo każda infrastruktura Jest różny, udostępnianie uogólnionego podręcznika szablony daje organizacjom użyteczny podstawa za pomocą których mogą dalej konfigurować własne parametry.”
W przyszłości Kerkdijk spodziewa się, iż udostępnianie przez społeczność poradników dotyczących bezpieczeństwa w ustandaryzowanym formacie CACAO będzie uzupełnieniem już istniejącej wymiany informacji wywiadowczych o zagrożeniach cybernetycznych. Dzięki temu nie każda organizacja musi na nowo wymyślać koło w przypadku każdego zdarzenia lub zdarzenia.
TNO wierzy, iż potrzebne są otwarte usługi SOAR, aby przyspieszyć rozwój i przyjęcie tej technologii. Instytut badawczy w związku z tym zbudowany własną ofertę SOAR i udostępnił ją jako technologię open source w połowie marca.
„Jesteśmy zdecydowanym zwolennikiem otwartych i standardowych rozwiązań” – Kerkdijk powiedział Computer Weekly. „Nasze narzędzie SOARCA jest zatem wolne od zależności od dostawców i zapewnia natywną obsługę standardu CACAOv2. Wydaliśmy go jako oprogramowanie typu open source, aby społeczność specjalistów SOC i CERT mogła swobodnie eksperymentować z koncepcją automatyzacji bezpieczeństwa opartej na podręcznikach i, miejmy nadzieję, przyczynić się do jej dalszego rozwoju.
Pbezpieczeństwo oparte na podręczniku automatyzacja może zaoszczędzić sporo czasu i jest bezpłatny wydłuża czas analityka do wykonywania bardziej złożonych analiz na mniej znanych lub nowe zdarzenia. Ostatecznie tak będzie dać organizację środek do pozostać atrakcyjnym dla podążał za specjaliści ds. bezpieczeństwa.
„Specjaliści SOC i CSIRT są bardzo poszukiwani” – stwierdził. „Jeśli uwolnią się od nudnych, powtarzalnych zadań w przychylność bardziej wymagającej pracy, mogę sobie wyobrazić, iż ich praca stanie się bardziej interesująca i łatwiej będzie ich zatrzymać”.
Przyszły rozwój
TNO jest wdrażanie różnorodnych innowacyjnych technologii w zakresie automatyzacji bezpieczeństwa cybernetycznego. „Na przykład zagłębiamy się w koncepcja, którą nazywamy zautomatyzowane bezpieczeństwo rozumowania” – stwierdził Kerkdijk. „Gdy monitorowanie bezpieczeństwa systemy podnoszą alarm, tProces rozumowania prowadzący do postawienia diagnozy i określenia adekwatnej drogi postępowania jest przez cały czas w dużej mierze zadaniem ludzkich ekspertów. Wierzymy, iż proces ten można wesprzeć w bardziej bezpośredni sposób, wykorzystując technologie do modelowania zarówno infrastruktury, jak i zachowań cyberprzestępców.”
TNO prowadzi również szeroko zakrojone badania w tym zakresie systemy samoleczenia które autonomicznie przewidują, wytrzymują i odzyskują siły po zagrożeniach i atakach. Inspiracją dla tej koncepcji jest obrona wzorce ludzkiego układu odpornościowego I ma zastosowanie zasady takie jak regeneracja komórek do infrastruktury bezpieczeństwa cybernetycznego.
„SOC i CSIRT to zrobią w nadchodzących latach nabiorą innego wyglądu, częściowo ze względu na wiele zmian w krajobrazie zagrożeń, ale także ponieważ infrastrukturęktóre chronią zespoły SOC i CSIRT bardzo ewoluuje, i dlatego, iż nowe regulacjeS Jak na przykład NIS2, the Ustawa o bezpieczeństwie cybernetycznym I CyberTarcza pojawi się wraz z nowym popytemS” powiedział Kerkdijk. „Automatyzacja procesów SOC i CSIRT będzie prawdopodobnie odgrywają w tym kluczową rolę bieżący rozwój.”
