Защо автоматизацията е от съществено значение за съвременната киберсигурност

Начало
Защо автоматизацията е от съществено значение за съвременната киберсигурност
admin
0

Областта на киберсигурността се разширява, което води след себе си все по-голям набор от инструменти и решения. Настъпва момент, в който сложността на ръчното справяне със задачите, свързани с информационната сигурност, става твърде голяма. Компаниите трябва да привлекат висококвалифицирани специалисти, но значителна част от времето им е посветено на изпълнението на рутинни, повтарящи се задачи.

Когато компаниите разпознаят, че проблемите им са ескалирали, те разбират необходимостта да подобрят управлението на задачите си в областта на сигурността. Автоматизацията на някои процеси се очертава като единственото решение, позволяващо по-бързи операции, като същевременно критичните решения остават в ръцете на хората.

Убеждението за автоматизация обаче е различно в отделните компании. Например някои от тях осъзнават важността на автоматизирането на своя център за операции по сигурността (SOC) едва след като прегледат резултатите от упражненията по киберсигурност и тестовете за проникване.

В повечето средни и някои големи организации едно типично решение за киберсигурност може да регистрира до един милион събития, свързани със сигурността, дневно, които трябва да бъдат обработени. От тях 100 000 събития се класифицират като критични или „червено“ ниво, което прави ръчния преглед невъзможен. Някои по-големи корпорации обработват до един милиард събития дневно, като около 50 000 от тях предизвикват предупреждения въз основа на корелационни правила. Като се има предвид, че един служител по сигурността може да обработва ръчно само около 200-300 събития на смяна, автоматизацията става незаменима. Тя е единственото жизнеспособно решение за приоритизиране на събитията и ефективно управление на рисковете.

Автоматизацията спестява време на анализаторите и намалява грешките. Тя също така освобождава служителите от монотонните рутинни задачи, които могат да потиснат ентусиазма им за работа. Автоматизацията на информационната сигурност освен това осигурява по-добро спазване на споразуменията за ниво на обслужване (SLA). Тя гарантира висока оперативна точност и предотвратява пропускането на важни елементи.

Икономическите фактори са основните движещи сили за ръста на автоматизацията, но те не са единствените. Правителствените разпоредби също играят значителна роля. Когато става въпрос за спазване на изискванията, компаниите трябва да направят преглед на своята ИТ инфраструктура, което включва събиране на подробна информация за сървърите и тяхното оборудване. За някои предприятия това може да означава редовно управление на данните за десетки хиляди машини.

Дебат за автоматизацията на сигурността

Съществуват две противоречиви мнения относно автоматизацията на киберсигурността. Едната гледна точка се застъпва за предоставяне на клиентите на инструменти за автоматизация на всички аспекти на операциите в областта на информационната сигурност, включително управление на логове, анализ, създаване на наръчници и разузнаване на киберзаплахи. Този подход позволява на клиентите да адаптират автоматизацията към своите нужди в многобройните инструменти за сигурност.

Противоположната гледна точка твърди, че подробната автоматизация е твърде сложна за бизнеса, като подчертава необходимостта от по-просто решение. То предлага опростена, ефективна система, която може незабавно да противодейства на хакерите, символизирана от „голям червен бутон“ за лесно намаляване на заплахите и възстановяване на системата.

Стратегия за автоматизация на киберсигурността: Първи стъпки

Когато автоматизирате процеси, е важно да следвате ясна логика. В противен случай рискувате да създадете повече проблеми: автоматизацията на хаоса генерира автоматизиран хаос.

 

Практическият подход за усъвършенстване на логиката на автоматизацията включва използване на опита от кибернетични упражнения, тестове за проникване или red teaming. Анализирането на защитните стратегии на „синия екип“ по време на различни сценарии на атаки помага да се определят техните алгоритми и стъпки за реакция. Този процес започва с разграничаване на истинските от фалшивите положителни сигнали, идентифициране на атрибутите на хакера и оценка на компрометираните ресурси. Такива прозрения позволяват автоматизиране на защитата чрез валидиране на регистрираните събития, което осигурява по-ефективен и рационализиран отговор на съвременните киберзаплахи.

Първата стъпка в подобряването на реакцията при инциденти е да се автоматизира събирането на контекстуални данни, които подпомагат вземането на решения. Това включва информация за конкретната машина или друг актив, участващ в инцидента със сигурността, данни за потребителски акаунти и разузнавателни данни за външни елементи на заплахата, като например имена на домейни. Тези фундаментални данни са важни за разбирането на обхвата и въздействието на инцидентите със сигурността, което позволява по-бързи и по-ефективни реакции. Ако дадена атака все още се развива, първоначално събраният контекст помага за съпоставяне на бъдещите защитни мерки с предварително установена хипотеза относно разпространението на атаката.

Втората фаза може да се съсредоточи върху автоматизирането на процесите, задействани по време на фазата на разследване на инцидента. Тази стратегическа автоматизация гарантира, че при разгръщането на атаката защитата може да се адаптира бързо въз основа на солидно разбиране на траекторията на атаката.

Интеграция на автоматизацията и машинното обучение

Трябва да избягваме да използваме израза изкуствен интелект (ИИ), когато обсъждаме автоматизацията на киберсигурността, тъй като новите технологии тук обикновено са по-тясно свързани с концепцията за машинно обучение (ML). Можем да се позовем на примери като автоматизиране на процеса на приоритизиране на събитията в областта на сигурността, за да се определят най-важните от тях. Например клъстеризацията на данни подпомага анализаторите по сигурността в бързото определяне на това, което е най-важно за тях.

Прилагането на ML в автоматизацията се възползва от богатия опит, натрупан от изчисляването на кредитни точки в банките. По подобен начин в информационната сигурност вземането на решение между фалшиво положително и истинско положително събитие често се основава на същите основни принципи.

Друга област, в която ML постига успехи, е свързана с компилирането на поредица от събития в  последователност, което помага на експертите по сигурността в техните анализи. Машинното обучение играе ключова роля тук, като открива допълнителни връзки между маркирани параметри и събития.

Напредъкът на инструментите за автоматизация се движи към възприемане на нова концепция, известна като езеро от данни за сигурността. Очаква се то да обобщава показатели за всички заплахи, открити от SOC. Очаква се автоматизираното разглеждане на тези събрани данни, допълнено с контекстуална информация, да се превърне в основна стратегия в информационната сигурност в бъдеще.

Необходимост от SIEM при автоматизацията на сигурността

Понякога системата за управление на информацията и събитията в сигурността (SIEM) е необходима на клиентите, които искат да автоматизират рутинни задачи. Тя обаче не винаги е задължителна. Например, не е необходима SIEM, ако трябва да разработите самостоятелен скрипт за автоматизация за конкретна функция, като например поддръжка на WAF срещу DDoS атаки.

Въпреки това не можете да минете без SIEM, когато става въпрос за пълноценни сценарии за автоматизация. Това е така, защото SIEM е от решаващо значение за постигане на ситуационна осведоменост, за създаване на сценарии за взаимодействие между инструментите или за улесняване на обмена на контекст. Както знаем, дори при солидна защита на целия периметър и централизирано управление на риска хакерите все още могат да намерят път. Само единна система SIEM може да реши въпроса за създаване на логика за откриване, която надхвърля вземането на решения въз основа на конкретен инструмент за сигурност.

Измерване на ефективността на автоматизацията на сигурността

Служителите по киберсигурност могат да измерват ефективността по много начини: колко бързо реагираме на инциденти, колко инциденти идентифицираме и т.н. Налични са безброй метрики, но собствениците на предприятия често не намират тези числа за пряко релевантни. От решаващо значение е бизнесът да разбере какво иска от своите усилия в областта на информационната сигурност. Преброяването на броя на блокираните IP адреси не дава тази представа.

Собствениците на фирми не трябва да навлизат в тънкостите на информационната сигурност. Тяхната основна цел е да печелят пари, докато ролята на информационната сигурност е да подчертае всички проблеми по начин, който бизнесът може лесно да разбере, и да предложи решения.

Всъщност, за да измерите ефективността на автоматизацията, винаги сте свободни да комбинирате традиционните показатели за информационна сигурност, като например време за откриване, време за реакция и брой инциденти, в цялостна оценка и да изчислите конкретен резултат за ефективност.

Съществува обаче и друг подход: вземете предвид вероятността от грешки по време на действията по реагиране и пребройте колко служители се занимават със задълженията по информационна сигурност. Като измерват ефективността с тези фактори, собствениците на фирми могат по-лесно да схванат осезаемите предимства на автоматизацията.

Понятието „ефективност на разходите“ винаги играе важна роля, като подчертава баланса между ресурсите, отпуснати в началото на проекта за информационна сигурност, и тези, изразходвани за постигане на желаните резултати.

Крайната цел е да се предотвратят инциденти, които се считат за неприемливи, като резултатите се използват като критерий за успех. Ефективността на мерките за автоматизация на информационната сигурност може да се оцени по това колко бързо и ефективно постигаме тази цел. Освен това въздействието на мерките за сигурност може да бъде измерено чрез кибернетични упражнения и пен тестове.

Етапи на автоматизация

Процесът на автоматизиране на рутинните дейности по киберсигурност се развива на няколко етапа. Първоначално клиентът просто признава реалните предимства на автоматизацията, като се отказва от старите си рутинни действия.

На следващия етап е необходимо да се идентифицират вече добре дефинирани процеси и местата, където автоматизираните рутинни задачи не могат да навредят пряко на основната дейност. Те се избират за първоначално внедряване на автоматизацията.

На третия етап клиентът може да се сблъска с някои провали в информационната сигурност, причинени от недостиг на ресурси. Автоматизацията навлиза, за да разреши тези проблеми.

При преминаване към четвъртия етап интересът на клиента нараства, тъй като той активно проучва възможностите на новите инструменти за сигурност и търси възможности за по-нататъшна автоматизация.

Предизвикателства при прилагането на автоматизацията

За съжаление внедряването на автоматизация в киберсигурността най-често е възпрепятствано от липсата на бюджет и подкрепа от висшето ръководство. Важно е да се разбере, че атаките стават все по-чести и по-сложни; рано или късно все пак ще се наложи да се справите с автоматизацията. Тъй като всички предприятия се стремят към растеж, в бъдеще той неизбежно ще става все по-скъп и по-сложен. Ето защо е от решаващо значение да обмислите внедряването на автоматизацията възможно най-рано.

Значителното предизвикателство при внедряването на автоматизацията се състои в необходимостта клиентът да поеме отговорност и да придобие експертния опит на доставчика на системи за сигурност, за да конфигурира правилно системата. Колкото по-сложна е инфраструктурата, толкова по-трудно става нейното внедряване.

Когато доставчиците предоставят на клиентите си инструменти за автоматизация на информационната сигурност, те поемат и отговорността да поддържат различни ресурси на клиента, като например версията на операционната система и конфигурацията на хардуера. При внедряването на такова решение се предоставят системни привилегии, които са много търсени от хакерите. Не всички ИТ отдели са подготвени да включат и внедрят мощен инструмент с широк контрол и привилегии за акаунти. Осигуряването на сигурността на системата и ефективното справяне с контрола на достъпа представлява предизвикателна задача.

Друго предизвикателство при внедряването на автоматизацията е липсата на стандарти. Това става очевидно в реални сценарии, при които няма универсален формат за представяне на данните, а за инвентара и записите на потребителските акаунти липсва общ стандарт. Например при работа с данни от Threat Intelligence доскоро цареше пълен хаос поради липсата на каквито и да било стандарти.

Важно е автоматизацията да се използва обмислено. Автоматизирането на операциите по сигурността изисква  внимание и желание за повишаване на експертния опит в компанията, което гарантира по-ефективно управление на информационната сигурност.

Cyber Security Hub

Сподели в:

Още публикации:

WatchGuard: Нулеви въглеродни емисии до 2040 г.

WatchGuard: Нулеви въглеродни емисии до 2040 г.

Прочети още
Как да развием силна култура на киберсигурност

Как да развием силна култура на киберсигурност

Прочети още
Основни изводи от последния ISR: повече и по-трудно откриваем малуер

Основни изводи от последния ISR: повече и по-трудно откриваем малуер

Прочети още
Mултифакторната автентикация - задължителна мярка за киберсигурност

Mултифакторната автентикация - задължителна мярка за киберсигурност

Прочети още
5 семена за киберсигурност, които да посадите за сигурно утре

5 семена за киберсигурност, които да посадите за сигурно утре

Прочети още
5 съвета на Gartner за балансиране на сигурността и бизнес целите

5 съвета на Gartner за балансиране на сигурността и бизнес целите

Прочети още

Последни публикации:

WatchGuard: Нулеви въглеродни емисии до 2040 г.
WatchGuard: Нулеви въглеродни емисии до 2040 г.
Как да развием силна култура на киберсигурност
Как да развием силна култура на киберсигурност
Основни изводи от последния ISR: повече и по-трудно откриваем малуер
Основни изводи от последния ISR: повече и по-трудно откриваем малуер

Категории:

Antivirus

Следвай ни в:

Facebook Linkedin

Етикети

Заяви продуктова консултация или ДЕМО

Антивирус БГ ЕООД

След повече от 20 години успешно представителство на Panda Security за България, а днес като златен партньор на WatchGuard® – световен лидер в решенията за сигурност, Антивирус БГ предлага пълна гама от решения и продукти за защита на информационната инфраструктура и активи от злонамерени действия и атаки, както и средства за защита на крайни устройства и неприкосновеност на лични или служебни данни.

Facebook Linkedin

Услуги

Продукти

Грижа за клиента

Доверие