Как наладить безопасность

Аналитик информационной безопасности предлагает — придерживайтесь всего семи правил, чтобы создать эффективный и действенный рабочий процесс, который будет служить верой и правдой вам и вашему отделу.

Требуется особый тип человека, чтобы быть аналитиком информационной безопасности. Человек должен быть ориентирован на детали, любопытным, интеллигентным и трудолюбивым, и с уметь быстро реагировать в нужный момент. Такие аналитики обладают глубоким опытом, который они используют во время длительных смен, чтобы разобраться в том, что стоит исследовать, а что можно безопасно игнорировать. Квалифицированный аналитик по информационной безопасности может многое, но надо помнить, они всего лишь люди.

Защитные барьеры и тактика

Проблемы, с которыми сталкивается центр операций безопасности (SOC), многочисленны: сегодняшний объем кибератак и сетевая активность делают невозможным мониторинг всех предупреждений безопасности; и им дается достаточно времени, чтобы учесть очень мало факторов, на которые они обращают внимание. Это приводит к пропущенным инцидентам, длительному задержанию злоумышленников и множеству ложных срабатываний, которые тратят время и внимание группы безопасности.

Эта реальность снижает уровень безопасности для предприятия. Типичной организации требуется 197 дней, чтобы определить, что их ИТ-среда была скомпрометирована, как выяснил Институт Понемон в своем исследовании стоимости утечки данных в 2018 году. Общая стоимость локализации, расследования и исправления нарушения в среднем составляет 3,86 млн. Долл. США, или 148 долл. США за потерянную или украденную запись.

В целом, стоимость нарушения пропорциональна тому, как долго оно не обнаруживается. Чем быстрее аналитик информационной безопасности обнаружит и устранит нарушения, тем ниже будет общая стоимость для жертвы. Инциденты, которые полностью разрешены в течение 30 дней, обходятся в среднем на 1 миллион долларов меньше, чем те, которые занимают больше времени. К сожалению, эта тенденция движется в неправильном направлении, поскольку компаниям требуется больше времени для выявления и устранения утечек данных, с которыми они сталкиваются, чем в прошлом году.

Проще говоря, существует три основных барьера, которые не позволяют аналитикам по безопасности принимать мгновенные решения при потоковой передаче данных в режиме реального времени:

Излишняя информация и данные для обработки

Недостаточный смысл — мы не понимаем, о чем нам говорят данные, а файлы журналов часто не содержат полезной информации
Недостаточная память — мы не можем вспомнить детали двух часов назад, не говоря уже о днях, неделях или месяцах ранее.

7 способов максимизировать ваш SOC

1. Сделайте так, чтобы ваши данные работали на вас.
Получаете ли вы реальную выгоду от всех этих данных, которые вы собираете? Если вы не используете их для информирования логики принятия решений, это не поможет вам. С сегодняшним программным обеспечением для обеспечения безопасности возможен автономный анализ, и это может дать вам возможность произвести революционные изменения в использовании данных журнала. Важно то, насколько хорошо вы отслеживаете, применяете и анализируете его для выявления вредоносных действий в вашей среде.

2. Присоединяйтесь к небольшому движению данных.
Некоторые группы SecOps собирают информацию из более чем ста источников данных — отслеживая все: от событий операционной системы конечной точки до журналов состояния маршрутизатора. Но более 99,99% этих данных никогда не используются. Это значительно увеличивает ваши расходы без существенного улучшения вашего состояния безопасности. Лучший способ — собрать только то, что вам нужно, а затем использовать его.

3. Измерьте, что имеет значение.
Независимо от того, какому крупному предприятию оно принадлежит, и сколько бы бизнес не вложил в технологии безопасности, некоторые атаки всегда будут успешными. Лидеры Infosec часто выдают показатели, которые демонстрируют, насколько усердно они пытаются предотвратить нарушения, что на самом деле уже не актуально. А CISO часто используют показатели угроз для обоснования своих (традиционно недостаточно финансируемых) бюджетов. Вместо этого лидеры должны задавать более глубокие вопросы о ценности, которую они получают от своих инвестиций в операции по обеспечению безопасности.

4. Готовьтесь ожидать неожиданного.
Киберпреступники будут пытаться выявить уязвимости, которые, как они знают, считаются рисками с низким приоритетом. Они настолько многочисленны и часто неожиданны, что почти невозможно предвидеть все атаки, которые могут быть предприняты против них. Каков ваш план реагирования на мега-нарушения?

5. Не полагайтесь на коллегиальные организации; вместо этого переосмыслите активную защиту.
Процедуры и рабочие процессы, используемые для защиты вашего бизнеса, по большей части просто не работают. Большая часть ваших размышлений — и сравнительного анализа — о том, что ваши коллеги по бизнесу сосредоточены вокруг концепции наличия разумной защиты на месте. Вместо этого мы должны переосмыслить, что значит защищать себя в цифровом мире. Успешная защита требует от вас активного и упреждающего подхода к неизбежным атакам, с которыми вы столкнетесь.

6. Прекратите просто управлять человеческими неудачами.
Аналитики и менеджеры усложняют работу, когда скрывают сбои в работе, не раскрывают известные уязвимости или создают нечестную организационную культуру. Вместо этого сделайте свой SOC местом, где сотрудники могут быть честными в отношении того, что они находят, не беспокоясь об увольнении. А внедрение программного обеспечения для автоматизации и анализа безопасности в тех местах вашего SOC, где обычно происходят сбои, может значительно повысить его общую эффективность и результативность.

7. Язык имеет значение.
Это не «вирус» — быстро размножающийся микроскопический паразит — который находится в вашей сети. И это не просто «вредоносное ПО» — что-то неодушевленное — оно в вашей среде. Есть преступники, совершающие преднамеренные действия с помощью вредоносного кода, и их цель — причинить вам вред. Мы должны признать важность данного аспекта, серьезность и человеческое происхождение угрозы.

Лучше противостоять угрозам

Кибератаки сохранятся, а борьба с ними останется постоянной битвой. Используйте семь пунктов, перечисленных выше, чтобы создать эффективный и действенный рабочий процесс и, что более важно, более счастливых аналитиков, которые не погребены в океане информации в основном не относящихся к делу данных.

Автор:

Перевела: Анна М.

Понравилась статья? Поделись в социальных сетях 🙂

Оставайся с нами cryptocity.tech