П’ять кроків для кращої підтримки сучасної команди виявлення

Як засновник і генеральний директор Panther допомагаєте командам безпеки бути розумнішими та швидшими за своїх зловмисників у хмарному світі.

Гетті

У наші дні командам безпеки доводиться чимало керувати: різкий приплив даних, більше хмарних додатків і служб для відстеження та підвищена складність створюють і без того великі перешкоди для забезпечення безпеки їхньої організації. Що ще гірше, деякі інструменти та системи безпеки, які використовують команди безпеки, шкодять, а не допомагають. Вони недостатньо швидко масштабуються, створюють сповіщення низької якості та потребують одноразових ручних процесів. Команди безпеки потребують кращих підходів, які могли б допомогти їм йти в ногу з цими зростаючими викликами.

Один із цих кращих підходів – перетворити вашу команду безпеки на сучасну групу виявлення.

Сучасна команда виявлення надає пріоритет масштабованості та ефективності. Вони застосовують принципи розробки програмного забезпечення для керування своїми операціями безпеки. Перш за все, вони приймають спосіб мислення виявлення як коду. Переваги величезні, такі як підвищення надійності виявлення та здатність аналізувати величезну кількість даних. Команди також можуть створювати масштабовані та спільні робочі процеси безпеки та забезпечувати більш високу операційну стабільність із меншими накладними витратами.

Якщо ваша команда безпеки шукає більш ефективні способи масштабування в майбутньому, ось шлях із п’яти кроків.

1. Використовуйте виявлення як код для автоматизації збору даних.

Однією з найбільших речей, які можуть підірвати команду безпеки, є час, витрачений на ручні процеси, у поєднанні з проблемою збору все більшої кількості даних через SIEM, які не можуть впоратися. Ось чому першим кроком є використання виявлення як коду у вашому зборі даних, особливо коли ви масштабуєте своє хмарне середовище. Автоматизація вашої інфраструктури означає більше контролю та послідовності над тим, що ви надаєте, а також більше стабільності, передбачуваності та масштабованості.

Для початку застосуйте платформу, наприклад GitHub з відкритим вихідним кодом, щоб керувати своєю інфраструктурою, і зверніть увагу на платформу конфігурації як коду, щоб налаштувати свої системи для централізованого журналювання. Коли ви приймаєте виявлення як код, переконайтеся, що вибрані конфігурації та керування вашою інфраструктурою застосовуються до всіх хмарних платформ і операційних систем у вашому середовищі.

2. Навчіть свою команду основним принципам розробки програмного забезпечення.

Наступним кроком є нарощування вашої команди базовими принципами розробки програмного забезпечення, які включають як дії, так і мислення. Навчіть свою команду універсальній мові програмування, як-от Python або SQL, якщо вони її ще не знають.

Можливо, ваша команда безпеки роками писала сценарії на Python, але, використовуючи виявлення як код, ви зможете використовувати цей код у спеціально налаштованих сповіщеннях і робочих процесах, які забезпечать краще виявлення в цілому. Виявлення як код дає змогу використовувати тестування, автоматизацію та рецензування.

3. Виберіть правильну платформу SIEM.

Звичайно, наявність правильної платформи SIEM закладає основу для ефективності та масштабованості команди. Виберіть хмарну платформу SIEM, яка зосереджена на виявленні як коді з попередньо вбудованими виявленнями та можливістю надсилати ваші журнали до озера безпеки даних. Платформа з цими функціями встановлює необхідні конвеєри для нормалізації даних, аналізу в реальному часі, аналізу структурованих даних та інших аналізів вашого середовища. Пам’ятайте, що чим довше ви чекаєте, тим більший технічний борг накопичується.

4. Надайте своїй команді структуру виявлення.

Наступним кроком є вибір інфраструктури виявлення або набору стандартних правил або попередньо створених засобів виявлення, які визначатимуть різні підозрілі дії в джерелах даних кінцевих точок. Іншими словами, ви не хочете створювати виявлення «просто тому» або створювати їх без кінцевої мети, пам’ятаючи про те, що ви хочете виявити. Більш стратегічний підхід до виявлення може підвищити вашу ефективність.

Розгляньте можливість почати з такої структури, як MITER ATT&CK, щоб ви могли створити виявлення для всіх поширених тактик і методів, які сьогодні використовують зловмисники. Фреймворк може структурувати процес і забезпечити більш систематичний підхід до забезпечення безпеки ваших систем.

5. Більше автоматизуйте.

Після того, як ваша платформа налаштована та запущена, наступним кроком буде продовження підвищення рівня автоматизації.

Але не автоматизуйте всі свої завдання відразу. Почніть із звичайних завдань і конкретних випадків використання та кодуйте їх. Потім створіть більш складну автоматизацію та робочі процеси, що звільнить час аналітика, щоб більше зосередитися на справді зловмисних сповіщеннях. Підвищена автоматизація також означає підвищення ефективності роботи та зменшення накладних витрат.

Створіть сучасну групу виявлення сьогодні, щоб підготуватися до завтрашнього дня.

Команди служби безпеки перебувають у стислій ситуації. Їм поставлено завдання захищати свою організацію, і вони хочуть робити це ефективно та масштабно, особливо тому, що середня вартість витоку даних для організації сьогодні становить 3,86 мільйона доларів. Але проактивний захист важко реалізувати за допомогою інструментів і підходів, які не встигають за сучасними навантаженнями. Ставши сучасною командою виявлення, ви не лише отримаєте правильні інструменти та системи для досягнення успіху, але й дасте можливість розвиватися в майбутньому.

Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?