Siber güvenlik operasyonlarının kapsamlı otomasyonu oyunun kurallarını değiştirebilir ve kavramı başucu kitabı odaklı güvenlik otomasyonu hızla ilerlemektedir.
Siber saldırılar giderek daha karmaşık hale geliyor ve yıkıcı etkileri iş ve toplum üzerine artaring muhteşem bir şekilde. Birçok kuruluşlar Öyleyse güvenliklerini artırmaya çalışıyorlar izleme ve olay müdahale yetenekleri. Bunlar sıklıkla kurulur özel güvenlik operasyonlarında cGirin (SOC'ler) ve bilgisayar güvenliği olay müdahale ekipleri (CSIRT'ler).
Bu tür SOC'ler ve CSIRT'ler son on yılda büyük ölçüde olgunlaşmış olsa da, Hücumcularla savunmacılar arasında hala büyük bir fark var. En önemlisi, nerede otomatik bir siber saldırı olabilir başlatıldı Yalnızca birkaç saniye içinde tespit ve yanıt çoğu zaman zaman alabilir günler, haftalar ya da aylar.
Richard KerkdijkSiber güvenlik teknolojileri kıdemli danışmanı Hollandalı bağımsız araştırma şirketi TNOşunları söyledi: “Bir SOC ekibi şüpheli bir olaya ilişkin bildirim aldığında, bir analiz derlemeli ve en uygun tepkiyi bulmalıdır.
“Yaygın – bilinen – tehditler ve olaylar için yanıt prosedürü genellikle standartlaştırılmıştır, ancak ilgili olayların aranması veya mevcut istihbarat kaynaklarına çapraz referans verilmesi gibi temel görevler hala zaman alıcı olabilir. Ve eğer olay daha istisnaiyse, analistler ihtiyaçlar daha da derine inmek için.”
SOC ve CSIRT operasyonlar çoğunlukla büyük oranda insan çaba ve uzmanlık. Tonunki tam olarak ne şimdiki zamana neden oluyor Saldırı hızı ile tepki hızı arasındaki uyumsuzluk. Meğer ki temel değişiklikler yapıldı, Kerkdijk dedi ki dengesizlik olur daha da artmak o zamandan beri SOC'nin çalışması ve CSIRT ekipleri giderek karmaşık hale geliyor.
“SOC ve CSIRT ekiplerinin koruduğu altyapılar giderek daha karmaşık ve çeşitli hale geliyor” dedi. “Geleneksel şirket içi ağlar artık çeşitli ağlarla iç içe geçmiş durumda. bulut tabanlı hizmetler ve altyapılara sahiptir ve çok sayıda (mobil) cihazdan erişilebilir. Bu, doğası gereği güvenlik olayının anlaşılmasını zorlaştırırS tam kapsamıyla ve etkili bir yanıt hazırlamak ilgili tüm teknolojiler genelinde.”
Savunmayı otomatikleştirme
Bu eğilimi tersine çevirmek için şöyle bir şeye ihtiyacımız olacak: oyun değiştirici, Ve yaygın otomasyon siber güvenlik operasyonlarından tam da bu hale gelebilir.
“Operasyonel güvenlik süreçlerinde çok fazla otomasyon potansiyeli var” dedi Kerkdijk. “Bu tür bir otomasyonun açık bir itici gücü, analiz ve yanıt hızını hızlandırmaktır, ancak aynı zamanda güvenlik analistlerini rutin (tekrarlayan) görevlerden kurtarabilir ve kaynakları aşağıdakiler gibi daha karmaşık faaliyetler için serbest bırakabilir: tehdit avcılığı veya işleme siber tehdit istihbaratı.”
SOC ve CSIRT otomasyonundaki önemli bir gelişme, taktik odaklı güvenlik otomasyonunun ortaya çıkmasıdır. Bu konseptin özü, spesifik, önceden tanımlanmış olayların, insan müdahalesi olmadan veya yalnızca sınırlı müdahaleyle yürütülen standartlaştırılmış bir yanıt iş akışını tetiklemesidir. Bu tür iş akışları makine tarafından okunabilir biçimde yakalanır güvenlik taktikleri önceden tanımlanmış bir araştırma veya iyileştirici görev dizisini dikte eden.
Kerkdijk, “Geleneksel olarak, olay müdahalesine yönelik taktik kitapları ve runbook'lar, insan analistleri ve operatörler için belgelenmiş talimatlardı” dedi. “Ancak makine tarafından okunabilen bir formatta derlendiğinde bunların yürütülmesi otomatikleştirilebilir. Bir güvenlik taktik kitabını otomatik olarak yürütme teknolojisi zaten mevcut ve buna genellikle güvenlik orkestrasyonu, otomasyon ve yanıt veya SOAR adı veriliyor.”
Playbook odaklı güvenlik otomasyonu
Kerdijk şunları ekledi: “SOC'ler genellikle korunan altyapıdan veri toplayan ve analistlerin takip etmesi için olaylar ve uyarılar üreten bir güvenlik bilgileri ve olay yönetimi (SIEM) sistemi çalıştırır. SOAR, yanıtın çoğunun otomatikleştirildiği yeni nesil bir çözümdür.”
Mevcut SOAR dağıtımları tipik olarak bir olayın analizini otomatikleştirmeye odaklanır (örneğin, geleneksel olarak çeşitli ekranlar arasında kopyala-yapıştır ve alt sekmeyi içeren ilgili olayların aranması).
Ancak sonuçta SOAR, güvenlik kontrollerini ve ağ işlevlerini otomatik olarak yeniden yapılandırarak olayın hafifletilmesini de organize edebilir. Bu, büyük zaman tasarrufuna yol açabilir. Kerdijk Olayların tamamen otomatik hale getirilmesine yönelik nihai adımın atılmasının genellikle teknolojik değil organizasyonel bir zorluk olduğunu söyledi.
“Günümüzde SOC'lerin altyapıda değişiklik yapma konusunda hiçbir yetkileri yok veya yalnızca sınırlı yetkileri var” dedi. “Süreçler, bu tür değişiklikleri sorumlu teknoloji ekiplerinden, genellikle bir destek bildirimi oluşturarak talep etmelerini zorunlu kılıyor. KYanıt veren eylemlerin otomatik olarak yürütülmesi teknik olarak mümkün olmakla birlikte, aynı zamanda BT bakım prosedürlerinin ve SOC ve CSIRT ekiplerinin yetkilerinin yeniden değerlendirilmesini gerektirecektir.”
Sonuçta bu sistemler son derece otomatik bir şekilde çalışır ve artan özerklik ile. Kerkdijk, “Evet, böyle bir sisteme güvenmeyi gerektirir” dedi. “Henüz o aşamada değiliz. TTeknolojinin güvenebileceğimiz bir düzeye geliştirilmesi gerekiyor, ve tşapka zaman alır.
Başka bir dezavantaj Siber güvenlik otomasyonuna yönelik mevcut hizmetlerin en önemli özelliği, teknolojinin çoğunlukla tescilli olmasıdır. Most SOAR çözümler öyle Öyleyse tedarikçiye özel; bu, yalnızca söz konusu tedarikçi tarafından belirtilen formattaki taktik kitaplarının çalıştırılabileceği anlamına gelir.
Başucu kitaplarının standartlaştırılması
Şu anda yaşanan önemli bir gelişme şu: VAHA dır-dir standartlaştırma güvenlik başucu kitabı formatları. TNO ile ilgilimevcut durumla yakından ilgili CACAOv2 standardı için makine tarafından okunabilen güvenlik başucu kitapları. Kerkdijk, “Standartlaştırma yoluyla, taktik kitapları agnostik hale gelir ve birlikte çalıştığınız SOAR tedarikçisinden bağımsız hale gelir” dedi.
“Aynı SOAR çözümünü kullanmasalar bile kuruluşlar arasında paylaşılabilir hale gelirler. Sırasında başucu kitabıS olamaz diğer kuruluşlardan kabul edilen bir Açık bir çünkü her altyapı dır-dir farklı, genelleştirilmiş başucu kitabını paylaşma şablonlar kuruluşlara verir kullanışlı temel daha fazla yapılandırabileceklerini kendi parametreleri.”
Kerkdijk, gelecekte mevcut siber tehdit istihbaratı alışverişinin tamamlayıcısı olarak standartlaştırılmış CACAO formatındaki güvenlik taktik kitaplarının topluluk tarafından paylaşılmasını görmeyi bekliyor. Bu şekilde her kuruluşun her olay veya olay için tekerleği yeniden icat etmesi gerekmez.
TNO, bu teknolojinin hem geliştirilmesini hem de benimsenmesini ileriye taşımak için açık SOAR hizmetlerine ihtiyaç olduğuna inanıyor. Araştırma enstitüsü bu nedenle inşa edildi kendi SOAR teklifi ve bunu Mart ortasında açık kaynak teknolojisi olarak piyasaya sürdü.
Kerkdijk, Computer Weekly'ye “Açık ve standartlaştırılmış çözümlerin çok güçlü bir savunucusuyuz” dedi. “SOARCA aracımız bu nedenle satıcı bağımlılıklarından muaftır ve CACAOv2 standardı için yerel destekle birlikte gelir. SOC ve CERT profesyonellerinden oluşan topluluğun, taktik odaklı güvenlik otomasyonu konseptini özgürce deneyebilmesi ve bunun daha da geliştirilmesine katkıda bulunabilmesi için bunu açık kaynak olarak yayınladık.”
PLaybook odaklı güvenlik otomasyon önemli ölçüde zaman ve ücretsiz tasarruf sağlayabilir analistin zamanı doldu daha az bilinen konularda daha karmaşık analizler gerçekleştirmek veya yeni olaylar. Sonuçta bu olacak bir organizasyon ver bir araç için çekici kalmak çok rağbette güvenlik uzmanları.
“SOC ve CSIRT uzmanlarına yoğun talep var” dedi. “Eğer sıkıcı, tekrar eden görevlerden kurtulurlarsa iyilik Daha zorlu işler arttıkça işlerinin daha ilginç hale geldiğini ve onları elde tutmanın daha kolay hale geldiğini çok iyi hayal edebiliyorum.”
Gelecekteki gelişmeler
TNO Siber güvenlik otomasyonu için çeşitli yenilikçi teknolojilerin peşinde. “Mesela şu konuyu araştırıyoruz: dediğimiz bir kavram otomatik güvenlik muhakeme,” dedi Kerkdijk. “Ne zaman güvenlik izleme sistemler alarm verir, tTeşhise yönelik akıl yürütme süreci ve ileriye doğru doğru yolu belirleme süreci hâlâ büyük ölçüde insan uzmanların işidir. Siber saldırganların hem altyapısını hem de davranışlarını modellemeye yönelik teknolojiler kullanılarak bu sürecin daha doğrudan desteklenebileceğine inanıyoruz.”
TNO ayrıca aşağıdakilerle ilgili kapsamlı araştırmalar yürütmektedir: kendini onaran sistemler Tehditleri ve saldırıları otonom bir şekilde öngören, direnen ve bunlardan kurtulan. Bu konseptten ilham alındı savunma insan bağışıklık sisteminin modelleri Ve geçerlidir gibi ilkeler hücre yenilenmesi siber güvenlik altyapılarına.
“SOC'ler ve CSIRT'ler Kısmen tehdit ortamında çok fazla değişiklik olması nedeniyle, gelecek yıllarda farklı bir görünüme bürünecek, ancak aynı zamanda Çünkü altyapıSOC ve CSIRT ekiplerinin koruduğu şeyler büyük ölçüde gelişen, ve çünkü yeni düzenlemeS örneğin NIS2, the Siber Güvenlik Yasası Ve Siber Kalkan yeni taleple gelecekS“ dedi Kerkdijk. “SOC ve CSIRT süreçlerinin otomasyonu büyük ihtimalle bu konuda önemli bir rol oynamak devam ediyor gelişim.”