В последнее десятилетие наблюдается растущий разрыв между ведущими аналитиками и высшим руководством в области ИТ и кибербезопасности. Хорошо документированные проблемы, с которыми сталкиваются современные аналитики, связаны с большим количеством предупреждений, ложными срабатываниями, плохой видимостью технической среды и тем, что аналитики тратят слишком много времени на выполнение ручных задач.
Вполне вероятно, что ложноположительные результаты будут всегда. И многие утверждают, что ложноположительный результат лучше ложноотрицательного. Но для принятия упреждающих мер мы должны приблизиться к сути инцидента. Это требует глубокого понимания того, как аналитики проводят процесс сортировки и расследования.
Платформа реагирования SHQ использует искусственный интеллект (ИИ) для сопоставления журналов, сбора информации из разных источников и визуализации ее на единой странице инцидента. Благодаря этому важные данные представляются в четкой временной шкале, а артефакты автоматически обновляются на портале.
Благодаря тому, что самые важные данные представлены в одном месте, аналитик, проводящий расследование, может преодолеть шум и оставаться в одном интерфейсе. Им больше не нужно просматривать несколько источников журналов или выполнять поиск в SIEM вручную для сбора соответствующих журналов, чтобы затем понять историю инцидента безопасности.
Рисунок 1: График инцидентов, платформа реагирования SHQ ©2024 SecurityHQ
Функция временной шкалы также позволяет аналитику исследовать логику, лежащую в основе срабатывания предупреждения или варианта использования. Это показано соответствующими индикаторами компрометации (IOCs), которые могут быть автоматически заблокированы с помощью встроенных в сервер инструментов.
Шестьдесят процентов инцидентов SOC - это повторяющиеся находки, которые продолжают всплывать из-за лежащих в их основе серьезных рисков. Действующие лица могут быть разными; однако риск в основном один и тот же. Это приводит к существенному переутомлению при оповещении.
Необходимо подумать о том, как преодолеть этот разрыв, уделяя особое внимание бизнес-целям и склонности к риску, сохраняя при этом уровень технической детализации.
Это позволяет аналитикам играть определенную роль в управлении программой кибербезопасности. Благодаря высокому уровню владения техническими технологиями между операционными аналитиками и управленческим персоналом поощряется более совместный подход. Это также позволяет переутомленным аналитикам четко видеть плоды своего труда, отраженные в более широкой деловой практике.
С этого момента акцент на упреждающих подходах и дорожных картах, а не на простом "тушении" и закрытии инцидентов в рамках Соглашения об уровне обслуживания (SLA) создает возможность для значимых изменений в компании.
Примечание: Эта статья была профессионально написана Тимом Чемберсом, старшим менеджером по кибербезопасности SecurityHQ
Влияние усталости от оповещений и ложных срабатываний
Аналитики перегружены предупреждениями. Побочным эффектом этого является то, что утомленные аналитики рискуют упустить ключевые детали в инцидентах и часто выполняют трудоемкие задачи сортировки вручную только для того, чтобы в конечном итоге скопировать и вставить общий заключительный комментарий в ложноположительное предупреждение.Вполне вероятно, что ложноположительные результаты будут всегда. И многие утверждают, что ложноположительный результат лучше ложноотрицательного. Но для принятия упреждающих мер мы должны приблизиться к сути инцидента. Это требует глубокого понимания того, как аналитики проводят процесс сортировки и расследования.
Платформа реагирования SHQ для сортировки и расследования
Типичный процесс сортировки часто выполняется вручную и позволяет аналитикам выполнять индивидуальный поиск контекстной информации в журнале. На основе этой информации они начинают собирать воедино историю произошедшего и дают представление об общем масштабе риска.Платформа реагирования SHQ использует искусственный интеллект (ИИ) для сопоставления журналов, сбора информации из разных источников и визуализации ее на единой странице инцидента. Благодаря этому важные данные представляются в четкой временной шкале, а артефакты автоматически обновляются на портале.
Благодаря тому, что самые важные данные представлены в одном месте, аналитик, проводящий расследование, может преодолеть шум и оставаться в одном интерфейсе. Им больше не нужно просматривать несколько источников журналов или выполнять поиск в SIEM вручную для сбора соответствующих журналов, чтобы затем понять историю инцидента безопасности.
Рисунок 1: График инцидентов, платформа реагирования SHQ ©2024 SecurityHQ
Функция временной шкалы также позволяет аналитику исследовать логику, лежащую в основе срабатывания предупреждения или варианта использования. Это показано соответствующими индикаторами компрометации (IOCs), которые могут быть автоматически заблокированы с помощью встроенных в сервер инструментов.
Платформа реагирования на инциденты для высокопоставленных заинтересованных сторон
Перегруженность аналитиков ложными срабатываниями является повсеместным явлением. Руководитель глобальных операций SOC в SecurityHQ Деодатта Вандекар выразил это наилучшим образом, объяснив, что:Шестьдесят процентов инцидентов SOC - это повторяющиеся находки, которые продолжают всплывать из-за лежащих в их основе серьезных рисков. Действующие лица могут быть разными; однако риск в основном один и тот же. Это приводит к существенному переутомлению при оповещении.
Необходимо подумать о том, как преодолеть этот разрыв, уделяя особое внимание бизнес-целям и склонности к риску, сохраняя при этом уровень технической детализации.
Реестр рисков для совместной работы и стратегии
Встроенный реестр рисков SecurityHQ позволяет аналитикам и бизнес-лидерам совместно управлять мероприятиями по снижению рисков, используя техническую компетентность оперативного персонала для принятия стратегических бизнес-решений.Это позволяет аналитикам играть определенную роль в управлении программой кибербезопасности. Благодаря высокому уровню владения техническими технологиями между операционными аналитиками и управленческим персоналом поощряется более совместный подход. Это также позволяет переутомленным аналитикам четко видеть плоды своего труда, отраженные в более широкой деловой практике.
Следующие шаги
SecurityHQ как партнер-консультант и как владелец такой платформы вносит свой вклад в развитие лучших отношений между руководством и аналитиками, предоставляя интуитивно понятный реестр рисков, удобный для руководителей.С этого момента акцент на упреждающих подходах и дорожных картах, а не на простом "тушении" и закрытии инцидентов в рамках Соглашения об уровне обслуживания (SLA) создает возможность для значимых изменений в компании.
Примечание: Эта статья была профессионально написана Тимом Чемберсом, старшим менеджером по кибербезопасности SecurityHQ
