Czym jest Centrum Operacji Bezpieczeństwa (SOC)?
Optymalizacja modelu operacji bezpieczeństwa
Podczas gdy obsługa incydentów monopolizuje większość zasobów SOC, dyrektor ds. bezpieczeństwa informacji (CISO) jest odpowiedzialny za szerszy obraz ryzyka i zgodności. Aby zlikwidować silosy operacyjne i silosy danych pomiędzy tymi funkcjami, skuteczna strategia wymaga adaptacyjnej architektury bezpieczeństwa, która umożliwia organizacjom wdrożenie zoptymalizowanych operacji bezpieczeństwa. Takie podejście zwiększa wydajność poprzez integrację, automatyzację i orkiestrację, a także zmniejsza liczbę wymaganych godzin pracy, jednocześnie poprawiając postawę zarządzania bezpieczeństwem informacji.
Zoptymalizowany model operacji bezpieczeństwa wymaga przyjęcia ram bezpieczeństwa, które ułatwiają integrację rozwiązań bezpieczeństwa i informacji o zagrożeniach w codziennych procesach. Narzędzia SOC, takie jak scentralizowane pulpity nawigacyjne, ułatwiają integrację danych o zagrożeniach z pulpitami nawigacyjnymi i raportami monitorowania bezpieczeństwa, dzięki czemu operacje i kierownictwo są na bieżąco informowane o zachodzących zdarzeniach i działaniach. Łącząc zarządzanie zagrożeniami z innymi systemami do zarządzania ryzykiem i zgodnością, zespoły SOC mogą lepiej zarządzać ogólną postawą wobec ryzyka. Takie konfiguracje zapewniają stałą widoczność w systemach i domenach oraz mogą wykorzystywać użyteczną inteligencję w celu zwiększenia dokładności i spójności operacji bezpieczeństwa. Scentralizowane funkcje zmniejszają obciążenie związane z ręcznym udostępnianiem danych, audytem i raportowaniem.
Operacjonalizacja zarządzania zagrożeniami powinna rozpocząć się od przemyślanej oceny. Oprócz środków obronnych, organizacja powinna ocenić procesy i polityki. Gdzie organizacja jest silna? Jakie są luki? Jaka jest postawa wobec ryzyka? Jakie dane są gromadzone i jak wiele z nich jest wykorzystywanych?
Choć każda organizacja jest inna, pewne podstawowe możliwości i najlepsze praktyki w zakresie operacji bezpieczeństwa stanowią dziś przykład należytej staranności. Rozsądny proces zarządzania zagrożeniami zaczyna się od planu i obejmuje odkrywanie (w tym obliczanie linii bazowej w celu promowania wykrywania anomalii, normalizację i korelację), selekcję (na podstawie ryzyka i wartości aktywów), analizę (w tym kontekstualizację) i ustalanie zakresu (w tym iteracyjne dochodzenie). Procesy zarządzania zagrożeniami przekazują priorytetyzowane i scharakteryzowane przypadki do programów reagowania na incydenty. Dobrze zdefiniowany plan reagowania jest absolutnie kluczowy dla powstrzymania zagrożenia lub zminimalizowania szkód wynikających z naruszenia bezpieczeństwa danych.
Rysunek 1. Plany zarządzania zagrożeniami integrują i strukturyzują wiele procesów w obszarze bezpieczeństwa i operacji IT.
Efektywna widoczność i zarządzanie zagrożeniami będzie opierać się na wielu źródłach danych, ale posortowanie przydatnych i aktualnych informacji może być trudne. Najbardziej wartościowymi danymi okazały się dane o zdarzeniach generowane przez środki zaradcze i zasoby IT, wskaźniki kompromitacji (IoC) generowane wewnętrznie (poprzez analizę złośliwego oprogramowania) i zewnętrznie (poprzez źródła informacji o zagrożeniach) oraz dane systemowe dostępne z czujników (np. hosta, sieci, bazy danych itp.).
Źródła danych takie jak te nie są tylko wkładem do zarządzania zagrożeniami. Dodają one kontekst i sprawiają, że informacje stają się wartościowe i możliwe do wykorzystania w celu bardziej precyzyjnej, dokładnej i szybkiej oceny w trakcie iteracyjnego i interaktywnego procesu zarządzania zagrożeniami. Dostęp do właściwych danych i ich efektywne wykorzystanie w celu wsparcia planów i procedur jest miarą dojrzałości organizacyjnej. Dojrzały” scenariusz obejmowałby przepływ pracy, który przekazuje właściwe informacje lub umożliwia bezpośrednie działanie w ramach konsoli operacyjnych i różnych produktów. Taki przepływ integruje operacje IT i zespoły bezpieczeństwa oraz narzędzia do reagowania na incydenty, gdy wystąpi krytyczne zdarzenie.
Wszystkie te oceny pomogą ustalić priorytety, gdzie zwiększenie inwestycji lub zmniejszenie tarcia jest potrzebne, aby wdrożenie zarządzania zagrożeniami odpowiadało celom. Konsultanci i testy penetracyjne mogą pomóc w analizie porównawczej strategii i dojrzałości organizacyjnej oraz sprawdzeniu reakcji bezpieczeństwa na ataki, aby uzyskać aktualną miarę zdolności organizacji do wykrywania i powstrzymywania złośliwych zdarzeń. Porównując się z innymi przedsiębiorstwami, taka weryfikacja może pomóc uzasadnić i wyjaśnić potrzebę przekierowania lub zainwestowania w zasoby operacyjne związane z bezpieczeństwem cybernetycznym.