Vsi čutimo vpliv pandemije COVID-19. Spremenilo se je malodane vse, od tega, kako živimo, kje delamo, do tega, kako komuniciramo. Ko se je naša kolektivna pozornost usmerila v dobro počutje ljudi in skupnosti, se zdi, da je trenutek pravi za potreben odmor.
Toda kibernetski napadi ne prenehajo. Ogromno groženj še vedno obstaja. In zahrbtni “bad actorji” iščejo kaotične razmere v upanju, da nas bodo ujeli nepripravljene z našo razpršeno ali oslabljeno obrambo.
Številna podjetja in vlade morajo nadaljevati ključne dejavnosti, saj imajo osrednjo vlogo v procesu okrevanja ali preprosto zagotavljajo storitve, ki ohranjajo gibanje gospodarstva. Z zaposlenimi, ki delajo doma, se je zavarovanje oddaljene delovne sile premaknilo naprej in v sredino.
Organizacije se soočajo z nepričakovanim paradoksom. Po eni strani se lahko nekatere dejavnosti štejejo za "nebistvene oz. nenujne" in se zaposlene pošlje domov v upanju, da se bo zaradi tega krivulja poravnala. Nihče pa ne dvomi, da je zagotavljanje neprekinjene visoke ravni kibernetske varnosti še vedno bistveno.
To pomeni, da morate vzdrževati svoje “možgane za kibernetsko varnost” - Center za varnostne operacije (SOC) – ta pa mora seveda tudi efektivno delovati. SOC mora stalno in v realnem času odkrivati in odpravljati grožnje. Zaradi tega je potrebno razviti novo miselnost, kar pomeni ponovno razmišljanje o tem, kako bo SOC operiral od te točke dalje.
Zavrzite Frankensteinovski model
Verjetno vsak pozna Frankensteinovo pošast, obliko nekega življenja, sestavljeno v laboratoriju. Na žalost je preveč SOC-ov zgrajenih na podoben način - delujejo po Frankensteinovem modelu, z različnimi, ločenimi orodji, ki med seboj ne komunicirajo dobro, stisnjene skupaj, da bi ustvarile približno obliko delujoče “ropotije.”
Ti izdelki SOC se ne združujejo, ne podpirajo avtomatizacije in so združeni s pomočjo junaštev SOC inženirjev. Ne glede na to, kako zelo se trudite in poskušate sestaviti različne dele SOC skupaj, ta na koncu še vedno izgleda in se premika kot Frankensteinova pošast.
Zvezki z navodili niso pravi odgovor
Drugi izziv je, da tisti varnostni inženirji, ki upravljajo z vašim SOC, prepuščajo uporabo ročnih kontrolnih seznamov – zvezkov z navodili -, s katerimi skupaj poskušajo ugotoviti, kako se odzvati na katera opozorila. To pomeni malo avtomatizacije ali inteligence in veliko neučinkovitosti.
To pomeni, da inženirji SOC sprejemajo vsako opozorilo, poiščejo zvezek za to ustrezno opozorilo in ročno izvedejo korake za raziskovanje in preusmeritev dogodka. Zvezek bi lahko imel tudi ducat zaporednih korakov in bi izvrševanje trajalo tudi eno uro. Med tem pa lahko analitik SOC spregleda na desetine novih opozoril.
Takšna praksa je ena izmed najbolj neučinkovitih poslovnih praks v tehnologiji, najslabši del tega pa je, da so podjetja to sprejela kot običajni način poslovanja.
Ko so številne inženirje SOC poslali domov, so se te neučinkovitosti še povečale in Frankensteinov model se je začel resno spotikati.
Skratka, Frankenstein je bil morda nekoč sprejemljiv operacijski model, vendar nezširljiv. In ne deluje, ne v vašem SOC pod "normalnimi" pogoji in zagotovo ne zdaj.
Oblikovanje nove poti
Kadar ekipe SOC delujejo na daljavo, je pravi čas za premislek o zasnovi in upravljanju SOC-a. SOC bi naj temeljil na treh temeljnih načelih, ki bi jih zlahka izvedla vsaka organizacija.
Načelo 1: Interoperabilnost
Vaš SOC bi morali graditi z izdelki, zasnovanimi - od vsega začetka - za interoperabilnost. To je ključnega pomena, saj ne morete preiti iz ročnega upravljanja v samodejno, ne da bi prej bili bitko z Frankensteinovim modelom. Vsi izdelki morajo biti sposobni medsebojno komunicirati, ne glede na to, kje se nahajajo vaša orodja, kje se dogaja podatkovna dejavnost in kje vaši ljudje delajo.
Načelo 2: Avtomatizacija
Šele ko bo interoperabilnost sprejeta kot temeljno načelo vašega SOC, lahko začnete s kritičnim delom avtomatizacije. Vsa pomembna dejanja morajo biti avtomatizirana in se ne smejo opirati izključno na ročne posege. Zvezki z navodili so zdaj avtomatizirani in delujejo 24/7/365 ter sprožijo korake, ki so ključni za preprečevanje, odkrivanje in odpravljanje morebitnih težav. Iskanje kazalnikov kompromisov, izoliranje uporabnikov in sistemov, sprožitev forenzike ali drugih opravil bi moralo potekati brez ročnih operacij SOC administratorjev. Namesto da bi analitiki SOC morali preiskovati ročne kontrolne sezname, kar bi lahko trajalo zamudno uro, se potrebna sanacija zgodi samodejno - v minutah ali celo sekundah.
Načelo 3: Sodelovanje
Sodelovanje mora potekati ne samo v samem SOC, ampak tudi med vsemi uporabniki. Večina analitikov SOC je skozi leta razvila svoje lastne zvezke z navodili. Še bolj problematično pa je, da četudi analitik SOC ustvari izjemen priročnik, ima od tega koristi le ta SOC. Upoštevati je potrebno, da imajo številne organizacije različne SOC na različnih lokacijah.
Tu mora biti ključno načelo sodelovanja, lep primer sodelovanja pa so hekerji, ki rutinsko delijo nasvete in trike, da lahko pridobijo kritične podatke. Če hekerji sodelujejo, zakaj ne bi sodelovali strokovnjaki za kibernetsko varnost?
Ustvarjenih je na stotine avtomatiziranih zvezkov z navodili, uporaba teh pa bi organizacijam prihranila dolgoletne napore in velike vsote denarja. Toda zakaj bi se tu ustavili? Strategija SOC bi morala spodbujati sodelovanje v celotni organizaciji. Če banka zazna sumljive dejavnosti na vaši kreditni kartici, vam običajno pošlje sporočilo in prosi, da potrdite z da / ne. Enako bi moralo veljati za morebitne varnostne dogodke. SOC lahko samodejno ustvari vprašanje, ki uporabnika vpraša, če se je res v Rusiji prijavil v omrežje ob 3. uri. Če je odgovor ne, se lahko sproži avtomatiziran zvezek z navodili za sanacijo.
Namesto fizičnega SOC z morda 10 inženirji lahko imate virtualni SOC, sestavljen iz vseh v podjetju – to je lahko tudi na tisoče ljudi. Sodelovanje je izjemno silna moč pri preoblikovanju SOC in zavarovanju vašega podjetja.
Pameten model za prihodnost
Upoštevajte tri načela in ugotovite, kako je mogoče izboljšati SOC organizacije v obdobju oddaljenega dela.
Ko organizacija uporablja ta tri načela, ni več pomembno, ali inženirji SOC delujejo v sobi z nadzorom dostopa ali v domači pisarni, povezani z VPN. To ni samo tolažba za organizacije, ki se poskušajo spoprijeti z današnjim delovnim okoljem za oddaljeni dostop, ampak tudi sprošča premislek o načinu načrtovanja in upravljanja SOC.
Varnost je osrednjega pomena za naše življenje in naše delo. Ta pandemija nas je prizadela na načine, ki si jih večina ni mogla zamisliti. Ko se organizacije soočajo in gledajo v prihodnost, je čas, da razmislite o bolj inovativnem modelu SOC, ki lahko za vašo varnost naredi več.
Tako kot skrbimo za svoje telo in ga ščitimo pred virusi, poskrbimo tudi za podjetje in ga zaščitimo pred virusi ter poskrbimo za podporo zaposlenim.
Oziroma v razmislek. Ali ste se že vprašali, kaj bi se zgodilo z vašim podjetjem, če bi vaš informacijski sistem preprosto nehal delovati?