Пять шагов для лучшей поддержки современной группы обнаружения
Помогая командам безопасности быть умнее и быстрее, чем их злоумышленники в облачном мире, как основатель и генеральный директор Panther.
гетти
В наши дни у специалистов по безопасности есть много задач: резкий приток данных, увеличение количества облачных приложений и сервисов, которые необходимо отслеживать, и растущая сложность создают и без того высокие препятствия для обеспечения безопасности их организации. Что еще хуже, некоторые из инструментов и систем, которые используют группы безопасности, вредят, а не помогают. Они недостаточно быстро масштабируются, выдают некачественные оповещения и требуют одноразовых ручных процессов. Команды безопасности нуждаются в более эффективных подходах, которые могут помочь им справиться с этими растущими проблемами.
Один из таких лучших подходов — превратить вашу команду безопасности в современную группу обнаружения.
Современная группа обнаружения отдает приоритет масштабируемости и эффективности. Они применяют принципы разработки программного обеспечения для управления своими операциями по обеспечению безопасности. Прежде всего, они придерживаются подхода «обнаружение как код». Преимущества огромны, например, повышение надежности обнаружения и возможность анализа большого объема данных. Команды также могут создавать масштабируемые и совместные рабочие процессы безопасности и обеспечивать более высокую операционную стабильность с меньшими накладными расходами.
Если ваша команда безопасности ищет более эффективные способы масштабирования в будущем, вот путь из пяти шагов.
1. Используйте обнаружение как код для автоматизации сбора данных.
Одна из самых больших вещей, которая может подорвать команду безопасности, — это время, затрачиваемое на ручные процессы, в сочетании с проблемой сбора все более огромных объемов данных через SIEM, которые не справляются. Вот почему первым шагом является принятие обнаружения как кода при сборе данных, особенно при масштабировании облачных сред. Автоматизация вашей инфраструктуры означает больший контроль и согласованность над тем, что вы предоставляете, а также большую стабильность, предсказуемость и масштабируемость.
Для начала выберите платформу, такую как GitHub с открытым исходным кодом, для управления своей инфраструктурой и рассмотрите платформу конфигурации как кода для настройки ваших систем для централизованного ведения журналов. Применяя обнаружение как код, убедитесь, что выбранные вами конфигурации и управление инфраструктурой применимы ко всем облачным платформам и операционным системам, присутствующим в вашей среде.
2. Обучите свою команду основным принципам разработки программного обеспечения.
Следующий шаг — научить вашу команду базовым принципам разработки программного обеспечения, которые включают в себя как действия, так и мышление. Научите свою команду универсальному языку программирования, такому как Python или SQL, если они его еще не знают.
Ваша команда безопасности может годами писать сценарии Python, но, используя обнаружение как код, вы сможете использовать этот код в тщательно адаптированных оповещениях и рабочих процессах, которые могут обеспечить лучшее обнаружение в целом. Обнаружение как код позволяет использовать тестирование, автоматизацию и экспертную оценку.
3. Выберите правильную платформу SIEM.
Конечно, правильная платформа SIEM закладывает основу для эффективности и масштабируемости команды. Выберите облачную платформу SIEM, основанную на обнаружении как коде — с предварительно созданными обнаружениями — и возможностью отправлять журналы в озеро данных безопасности. Платформа с этими функциями устанавливает необходимые конвейеры для нормализации данных, анализа в реальном времени, исследования структурированных данных и других сведений о вашей среде. Помните, что чем дольше вы ждете, тем больше накапливается технический долг.
4. Дайте вашей команде систему обнаружения.
Следующим шагом является выбор платформы обнаружения, набора стандартных правил или готовых средств обнаружения, которые будут выявлять различные подозрительные действия в ваших источниках данных конечных точек. Другими словами, вы не хотите создавать обнаружения «просто так» или создавать их без конечной цели, связанной с тем, что вы хотите обнаружить. Более стратегический подход к обнаружению может повысить вашу эффективность.
Подумайте о том, чтобы начать с такой платформы, как MITRE ATT&CK, чтобы вы могли создавать обнаружения для всех распространенных тактик и методов, которые злоумышленники используют сегодня. Фреймворк может структурировать процесс и обеспечить более систематический подход к обеспечению безопасности ваших систем.
5. Автоматизируйте больше.
После того, как ваша платформа будет запущена и запущена, следующим шагом будет дальнейшее повышение уровня автоматизации.
Но не стоит сразу автоматизировать все свои задачи. Начните с общих задач и конкретных вариантов использования и кодируйте их. Затем создайте более совершенные средства автоматизации и рабочие процессы, которые высвободят время аналитика, чтобы больше сосредоточиться на действительно вредоносных оповещениях. Повышенная автоматизация также означает более высокую эффективность работы и меньшие накладные расходы.
Создайте современную группу обнаружения сегодня, чтобы подготовиться к завтрашнему дню.
Службы безопасности находятся в затруднительном положении. Им поручено защищать свою организацию, и они хотят делать это эффективно и масштабно, тем более что средняя стоимость утечки данных для организации сегодня составляет 3,86 миллиона долларов. Но упреждающую защиту трудно обеспечить с помощью инструментов и подходов, которые не поспевают за современными рабочими нагрузками. Если вы станете современной командой по обнаружению, вы не только получите нужные инструменты и системы для достижения успеха, но и сможете масштабироваться в будущем.
Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и руководителей технологических компаний мирового уровня. Имею ли я право?
