Технологиите за сигурност се нуждаят от стандартизация
Необходими са промени в работата на SOC и CSIRT, упорстват холандски откриватели
Автоматизацията на дейностите по ИТ сигурността освен ще помогне на отделите по осведомителна сигурност да работят по-лесно, само че и ще поддържа задържането на скъпите ИТ експерти (снимка: CC0 Public Domain)
Повсеместната автоматизация на дейностите по киберсигурност може да промени всекидневието на екипите по отбраната. Ключов фактор за това ще играят “картите “ за деяние в разнообразни обстановки, а това на собствен ред ще увеличи значимостта на стандартизацията в бранша, настояват холандски откриватели.
Кибератаките стават все по-сложни и техните разрушителни резултати върху бизнеса и обществото се усилват. Поради това доста организации се стремят да подобрят своите качества за наблюдаване на сигурността и бързо реагиране при произшествия. Те постоянно се основават в специфични центрове за интервенции по сигурността (SOC) и екипи за реагиране при произшествия с компютърната сигурност (CSIRT).
още по темата
Въпреки че такива SOC и CSIRT са се развили доста през последното десетилетие, към момента има голяма „ бездна “ сред нападателите и бранителите. Докато автоматизираната хакерска атака може да се развихри за броени секунди, откриването и реакцията постоянно могат да лишават дни, седмици или даже месеци.
„ Когато SOC екип получи уведомление за хипотетичен случай, хората там би трябвало да създадат разбор и да измислят най-подходящия отговор, “ споделя Ричард Керкдийк, старши съветник по технологиите за киберсигурност в холандската самостоятелна изследователска компания TNO.
„ За постоянно срещани – т.е. добре известни – закани и събития процедурата за реагиране постоянно е стандартизирана. Но главните задания, такива като търсене на свързани събития или кръстосани препратки към налични източници за разузнаване – към момента могат да лишават време. И в случай че събитието е по-специфично, анализаторите би трябвало да „ копаят “ много дълго “, добавя той.
Дейностите на SOC и CSIRT постоянно разчитат на човешки труд и опит. Точно това е повода за несъответствието сред скоростта на офанзива и скоростта на реакция. Освен в случай че не бъдат направени фундаментални промени, съгласно Керкдийк, несъответствието ще се усилва още повече, защото работата на SOC и екипите на CSIRT става все по-сложна.
„ Инфраструктурите, които екипите на SOC и CSIRT пазят, стават все по-сложни и разнородни “, изяснява специалистът. „ Традиционните местни мрежи в този момент са преплетени с разнообразни услуги и инфраструктури, основани на облака. Те са налични от необятна палитра мобилни устройства. Всичко това в действителност прави мъчно разбирането на събитията, свързани със сигурността, в цялостната им степен – надлежно и подготовката на ефикасен отговор “.
Автоматизиране на отбраната
За да се промени наклонността, ще се нуждаем от тотална смяна „ на разпоредбите на играта “. Повсеместната автоматизация на интервенциите по киберсигурност може да направи тъкмо това.
„ Има огромен капацитет за автоматизация в процесите на оперативна сигурност “, споделя Керкдайк. „ Очевиден мотор за такава автоматизация е ускоряването на скоростта на разбора и реакцията. Но това може и да освободи анализаторите по сигурността от рутинни (повтарящи се) задания, тъй че да им обезпечи запаси за по-сложни действия “.
Ключово решение за автоматизацията на работата на SOC и CSIRT е появяването на способ за автоматизация на сигурността, ръководена „ по карта “, т.е. по еднообразен, примерен метод. Същността на тази идея е, че избрани характерни, авансово дефинирани събития задействат типов развой на реагиране. Той се извършва без или единствено с лимитирана човешка интервенция. Такива процеси се записват в машинночетими управления за сигурност, които диктуват авансово дефинирана поредност от проверяващи или коригиращи задания.
„ Традиционно наръчниците за реакция при произшествия съставляват документирани указания за анализаторите и операторите “, споделя Керкдайк. „ Когато са компилирани в машинночетим формат обаче, тяхното осъществяване може да бъде автоматизирано. Технологията за автоматизирано осъществяване на управление за сигурност към този момент съществува и нормално се назовава оркестровка на сигурността, автоматизация и реакция – или SOAR “.
Автоматизация на сигурността „ по карта “
„ SOC постоянно ръководят система за информация за сигурността и ръководство на събития (SIEM), която събира данни от предпазената инфраструктура и основава събития и предизвестия, които анализаторите да наблюдават. SOAR е решение от последващо потомство, при което огромна част от реакцията е автоматизирана, “ изясняват холандските учени.
Настоящите внедрявания на SOAR нормално се концентрират върху автоматизирането на разбора на обещано събитие (например търсене на свързани събития, които обичайно включват прекопирване и слагане и прескачане сред разнообразни екрани).
В последна сметка обаче SOAR може и да провежда действителното намаляване на случаите посредством автоматизирано преконфигуриране на контролите за сигурност и мрежовите функционалности. Това може да докара до големи спестявания на време. Кердайк споделя, че предприемането на крайната стъпка към изцяло автоматизирано намаляване на произшествия постоянно не е софтуерно, а организационно предизвикателство.
„ Днешните SOC имат лимитирани права да правят промени в инфраструктурата сами “, споделя той. „ Процесите диктуват те да изискват такива промени от виновните софтуерни екипи – нормално посредством отваряне на „ билет “ за поддръжка. Въпреки че автоматизираното осъществяване на реагиращи дейности е механически осъществимо, то ще изисква преразглеждане на процедурите за ИТ поддръжка и правата на SOC и екипите на CSIRT “.
В последна сметка тези системи би трябвало да работят по мощно автоматизиран метод и с възходяща самостоятелност. „ Да, това в действителност изисква доверие в такава система “, сподели Керкдайк. „ Все още не сме подготвени. Технологията би трябвало да бъде развита до равнище, на което можем да се доверим, а това лишава време. “
Друг минус на актуалните услуги за автоматизация на киберсигурността е, че технологията постоянно е патентована. Поради това множеството решения на SOAR са характерни за доставчика. Следователно могат да се извършват единствено такива сюжети, каквито е определил съответният снабдител.
Стандартизиране на картите
Важна смяна, която е на ход сега, е, че стандартизирането на сюжетите за деяние в гарантирането на сигурност, ненапълно сходно на картите за действане при произшествия, които водачите следват при ръководството на самолетите. „ Чрез стандартизацията картите стават „ агностици “, т.е. самостоятелни от доставчика на SOAR, с който работите “, изяснява Керкдайк. Оттам следват значими промени.
„ Картите могат да се споделят сред организациите, даже и да не употребяват едно и също SOAR решение. Въпреки че картите не могат да бъдат признати от други организации едно към едно, тъй като всяка инфраструктура е друга, шерването на шаблоните дава на организациите потребна основа, която те могат да конфигурират в допълнение със свои лични параметри “, добавя той.
Малко по-нататък във времето можем да чакаме да забележим и шерване на наръчниците по сигурността в стандартизирани формати. По този метод към този момент няма да е нужно всяка организация да „ преоткрива колелото “ за всеки случай или събитие.
Холандците даже приказват за отворени SOAR услуги, които да подтикват развиването и приемането на технологията. Изследователският институт даже е построил свое лично предложение за SOAR, което пусна като технология с отворен код в средата на март.
„ Ние сме доста мощен бранител на отворените и стандартизираните решения “, споделя Керкдийк. „ Нашият инструмент SOARCA е свободен от зависимости от снабдители и идва с естествена поддръжка за стандарта CACAOv2. Пуснахме го като отворен код, тъй че общността от експерти от SOC и CERT да може свободно да опитва с концепцията за автоматизация на сигурността, ръководена по карта, и се надяваме това да способства за по-нататъшния й прогрес “.
Автоматизацията на сигурността, ръководена по шаблонни карти, може да спести доста време и да освободи време на анализатора за осъществяване на по-сложни разбори на по-малко известни или нови произшествия. В последна сметка това ще даде на организацията средство да остане привлекателна за търсените експерти по сигурността.
„ Специалистите по SOC и CSIRT са доста търсени “, споделя Керкдийк. „ Ако се освободят от скучните, повтарящи се задания в интерес на по-предизвикателната работа, работата им ще е по-интересна и ще им е по-лесно да задържат своите експерти “, заключава той.
Автоматизацията на дейностите по ИТ сигурността освен ще помогне на отделите по осведомителна сигурност да работят по-лесно, само че и ще поддържа задържането на скъпите ИТ експерти (снимка: CC0 Public Domain)
Повсеместната автоматизация на дейностите по киберсигурност може да промени всекидневието на екипите по отбраната. Ключов фактор за това ще играят “картите “ за деяние в разнообразни обстановки, а това на собствен ред ще увеличи значимостта на стандартизацията в бранша, настояват холандски откриватели.
Кибератаките стават все по-сложни и техните разрушителни резултати върху бизнеса и обществото се усилват. Поради това доста организации се стремят да подобрят своите качества за наблюдаване на сигурността и бързо реагиране при произшествия. Те постоянно се основават в специфични центрове за интервенции по сигурността (SOC) и екипи за реагиране при произшествия с компютърната сигурност (CSIRT).
още по темата
Въпреки че такива SOC и CSIRT са се развили доста през последното десетилетие, към момента има голяма „ бездна “ сред нападателите и бранителите. Докато автоматизираната хакерска атака може да се развихри за броени секунди, откриването и реакцията постоянно могат да лишават дни, седмици или даже месеци.
„ Когато SOC екип получи уведомление за хипотетичен случай, хората там би трябвало да създадат разбор и да измислят най-подходящия отговор, “ споделя Ричард Керкдийк, старши съветник по технологиите за киберсигурност в холандската самостоятелна изследователска компания TNO.
„ За постоянно срещани – т.е. добре известни – закани и събития процедурата за реагиране постоянно е стандартизирана. Но главните задания, такива като търсене на свързани събития или кръстосани препратки към налични източници за разузнаване – към момента могат да лишават време. И в случай че събитието е по-специфично, анализаторите би трябвало да „ копаят “ много дълго “, добавя той.
Дейностите на SOC и CSIRT постоянно разчитат на човешки труд и опит. Точно това е повода за несъответствието сред скоростта на офанзива и скоростта на реакция. Освен в случай че не бъдат направени фундаментални промени, съгласно Керкдийк, несъответствието ще се усилва още повече, защото работата на SOC и екипите на CSIRT става все по-сложна.
„ Инфраструктурите, които екипите на SOC и CSIRT пазят, стават все по-сложни и разнородни “, изяснява специалистът. „ Традиционните местни мрежи в този момент са преплетени с разнообразни услуги и инфраструктури, основани на облака. Те са налични от необятна палитра мобилни устройства. Всичко това в действителност прави мъчно разбирането на събитията, свързани със сигурността, в цялостната им степен – надлежно и подготовката на ефикасен отговор “.
Автоматизиране на отбраната
За да се промени наклонността, ще се нуждаем от тотална смяна „ на разпоредбите на играта “. Повсеместната автоматизация на интервенциите по киберсигурност може да направи тъкмо това.
„ Има огромен капацитет за автоматизация в процесите на оперативна сигурност “, споделя Керкдайк. „ Очевиден мотор за такава автоматизация е ускоряването на скоростта на разбора и реакцията. Но това може и да освободи анализаторите по сигурността от рутинни (повтарящи се) задания, тъй че да им обезпечи запаси за по-сложни действия “.
Ключово решение за автоматизацията на работата на SOC и CSIRT е появяването на способ за автоматизация на сигурността, ръководена „ по карта “, т.е. по еднообразен, примерен метод. Същността на тази идея е, че избрани характерни, авансово дефинирани събития задействат типов развой на реагиране. Той се извършва без или единствено с лимитирана човешка интервенция. Такива процеси се записват в машинночетими управления за сигурност, които диктуват авансово дефинирана поредност от проверяващи или коригиращи задания.
„ Традиционно наръчниците за реакция при произшествия съставляват документирани указания за анализаторите и операторите “, споделя Керкдайк. „ Когато са компилирани в машинночетим формат обаче, тяхното осъществяване може да бъде автоматизирано. Технологията за автоматизирано осъществяване на управление за сигурност към този момент съществува и нормално се назовава оркестровка на сигурността, автоматизация и реакция – или SOAR “.
Автоматизация на сигурността „ по карта “
„ SOC постоянно ръководят система за информация за сигурността и ръководство на събития (SIEM), която събира данни от предпазената инфраструктура и основава събития и предизвестия, които анализаторите да наблюдават. SOAR е решение от последващо потомство, при което огромна част от реакцията е автоматизирана, “ изясняват холандските учени.
Настоящите внедрявания на SOAR нормално се концентрират върху автоматизирането на разбора на обещано събитие (например търсене на свързани събития, които обичайно включват прекопирване и слагане и прескачане сред разнообразни екрани).
В последна сметка обаче SOAR може и да провежда действителното намаляване на случаите посредством автоматизирано преконфигуриране на контролите за сигурност и мрежовите функционалности. Това може да докара до големи спестявания на време. Кердайк споделя, че предприемането на крайната стъпка към изцяло автоматизирано намаляване на произшествия постоянно не е софтуерно, а организационно предизвикателство.
„ Днешните SOC имат лимитирани права да правят промени в инфраструктурата сами “, споделя той. „ Процесите диктуват те да изискват такива промени от виновните софтуерни екипи – нормално посредством отваряне на „ билет “ за поддръжка. Въпреки че автоматизираното осъществяване на реагиращи дейности е механически осъществимо, то ще изисква преразглеждане на процедурите за ИТ поддръжка и правата на SOC и екипите на CSIRT “.
В последна сметка тези системи би трябвало да работят по мощно автоматизиран метод и с възходяща самостоятелност. „ Да, това в действителност изисква доверие в такава система “, сподели Керкдайк. „ Все още не сме подготвени. Технологията би трябвало да бъде развита до равнище, на което можем да се доверим, а това лишава време. “
Друг минус на актуалните услуги за автоматизация на киберсигурността е, че технологията постоянно е патентована. Поради това множеството решения на SOAR са характерни за доставчика. Следователно могат да се извършват единствено такива сюжети, каквито е определил съответният снабдител.
Стандартизиране на картите
Важна смяна, която е на ход сега, е, че стандартизирането на сюжетите за деяние в гарантирането на сигурност, ненапълно сходно на картите за действане при произшествия, които водачите следват при ръководството на самолетите. „ Чрез стандартизацията картите стават „ агностици “, т.е. самостоятелни от доставчика на SOAR, с който работите “, изяснява Керкдайк. Оттам следват значими промени.
„ Картите могат да се споделят сред организациите, даже и да не употребяват едно и също SOAR решение. Въпреки че картите не могат да бъдат признати от други организации едно към едно, тъй като всяка инфраструктура е друга, шерването на шаблоните дава на организациите потребна основа, която те могат да конфигурират в допълнение със свои лични параметри “, добавя той.
Малко по-нататък във времето можем да чакаме да забележим и шерване на наръчниците по сигурността в стандартизирани формати. По този метод към този момент няма да е нужно всяка организация да „ преоткрива колелото “ за всеки случай или събитие.
Холандците даже приказват за отворени SOAR услуги, които да подтикват развиването и приемането на технологията. Изследователският институт даже е построил свое лично предложение за SOAR, което пусна като технология с отворен код в средата на март.
„ Ние сме доста мощен бранител на отворените и стандартизираните решения “, споделя Керкдийк. „ Нашият инструмент SOARCA е свободен от зависимости от снабдители и идва с естествена поддръжка за стандарта CACAOv2. Пуснахме го като отворен код, тъй че общността от експерти от SOC и CERT да може свободно да опитва с концепцията за автоматизация на сигурността, ръководена по карта, и се надяваме това да способства за по-нататъшния й прогрес “.
Автоматизацията на сигурността, ръководена по шаблонни карти, може да спести доста време и да освободи време на анализатора за осъществяване на по-сложни разбори на по-малко известни или нови произшествия. В последна сметка това ще даде на организацията средство да остане привлекателна за търсените експерти по сигурността.
„ Специалистите по SOC и CSIRT са доста търсени “, споделя Керкдийк. „ Ако се освободят от скучните, повтарящи се задания в интерес на по-предизвикателната работа, работата им ще е по-интересна и ще им е по-лесно да задържат своите експерти “, заключава той.
Източник: technews.bg
КОМЕНТАРИ