Нехватка персонала, проблемы с распределением бюджета, а также неадекватная аналитика и фильтрация – вот некоторые из проблем, с которыми столкнутся организации при внедрении центра управления безопасностью (SOC).
Оперативный центр безопасности является неотъемлемой частью стратегии организации по сдерживанию угроз. Как показало исследование Nemertes 2019-2020 Cloud and Cybersecurity Research, наличие SOC было связано с улучшением способности сдерживать угрозы на 43%. Восемь проблем SOC могут возникнуть с людьми, процессами и технологиями, независимо от того, управляется ли SOC внутренне или внешне.
Задача 1. Нехватка персонала
Жалобы на трудности с поиском обученного, опытного персонала в сфере безопасности поступают давно. Быстрый переход к новым режимам работы, облачным инфраструктурам и архитектурам облачных приложений только усугубил проблему. Если только небольшой процент корпоративных приложений поставляется с использованием бессерверных платформ, какова вероятность того, что компания, использующая критически важную бессерверную систему, сможет найти – и позволить себе – сотрудников SOC с соответствующими знаниями и опытом?
Задача 2. Нехватка навыков
Нехватка навыков также является проблемой. Когда организация не может нанять сотрудников, чтобы восполнить пробел в портфолио навыков в области безопасности, для восполнения этого пробела остается существующий персонал. Они продвигаются вперед, но не без проблем. Например, если команда SOC не может квалифицированно использовать инструменты мониторинга и управления для эффективного реагирования на угрозы, это, скорее всего, приведет к замедлению реагирования и неудачным ответным действиям. Замедленное реагирование происходит из-за того, что персонал находит нужные функции для диагностики инцидентов и последующего вмешательства. Неудачные ответные действия являются результатом того, что персонал либо не учитывает показатели, представленные в инструменте, либо не принимает мер, необходимых для предотвращения атаки.
Проблема 3. Нехватка знаний
Нехватка знаний тесно связана с нехваткой навыков. Даже те, кто хорошо разбирается в работе со всеми инструментами управления системами, могут потерпеть неудачу, если они слишком мало знают о защищаемой системной среде. Слишком малое знание приводит к неспособности распознать проблемы как таковые или к увеличению вероятности неадекватных реакций на несуществующие проблемы. Команды SOC столкнутся с большим количеством ложноположительных и ложноотрицательных ответов и будут тратить время на их устранение. В конечном счете, персонал не сможет реагировать на реальные атаки.
Задача 4. Задержка процесса
Задержка процесса имеет две стороны: системную и человеческую. Системная проблема задержки процессов заключается в том, что процессы SOC развиваются недостаточно быстро, чтобы справиться с изменениями в системной среде, которую отслеживает SOC. Человеческое лицо заключается в том, что как окружающая среда, так и процессы развиваются быстрее, чем люди понимают их. Итак, процессы отстают от окружающей среды, а люди отстают от процессов.
Следовательно, процессы SOC не являются всеобъемлющей основой для действий, которой они должны быть. Ограниченное время сотрудников тратится на импровизацию и согласование новых процессов, что приводит к медленному и неполному реагированию на проблемы. И поскольку многие специальные процессы в конечном счете приходится отбрасывать и разучивать, они влекут за собой двойную трату скудного внимания персонала.
Задача 5. Бюджет, выделенный на неправильной основе
Что касается составления бюджета, то в ходе своего исследования Nemertes обнаружила, что слишком многие ИТ-организации при составлении бюджета безопасности не учитывают риски. Вместо этого они привязывают расходы на безопасность к некоторому проценту от общих расходов на ИТ или к какому-то аналогичному показателю расходов. Те, кто составляет бюджет, основанный на риске – пересечении вероятности инцидента с величиной полученного ущерба, – более успешны в обеспечении безопасности своих предприятий, поскольку они фокусируются на смягчении угроз с наибольшим потенциалом ущерба, а не просто на высокой вероятности возникновения ущерба.
Проблема 6. Отсутствие надлежащего инструментария
Отсутствие адекватных инструментов для мониторинга и управления слишком часто является результатом быстрых изменений в контролируемой системной среде. Системы, перенесенные из центра обработки данных в облачную среду, также могут нуждаться в новых средствах безопасности. Приложения, разработанные и развернутые в контейнерах, нуждаются в защите, но у SOC может не быть каких-либо инструментов, дающих им доступ к этим системам, или каких-либо средств вмешательства в эту среду.
Задача 7. Неадекватная аналитика и фильтрация
Аналитика и фильтрация являются необходимыми инструментами для SOC, но часто они неадекватны. Обрушивание ошеломляющего потока ложноположительных предупреждений о безопасности на сотрудников SOC – особенно когда внимание персонала является самым дефицитным ресурсом в ИТ-сфере – является невероятно разрушительной проблемой. Инструменты, которые гораздо лучше распознают ложные срабатывания, отсеивают дубликаты и сопоставляют оповещения в разных системах, чтобы помочь в обнаружении угроз, будут иметь решающее значение для снижения усталости от оповещений, а также для создания и поддержания устойчивых операций SOC.
Задача 8. Отсутствие автоматизации и интеграции
Аналогичным образом, превращение человека в кресле SOC в точку интеграции между системами – иначе говоря, интеграция с вращающимся креслом – приводит к человеческой ошибке. Вовлекая сотрудников в выполнение повторяющихся задач по мере того, как они внедряют стандартные рабочие процессы реагирования на инциденты безопасности, организации повышают утомляемость и эмоциональное выгорание персонала и ограничивают скорость реагирования на инциденты человеческими масштабами: время восприятия персоналом плюс время понимания персоналом плюс время реагирования персоналом. Автоматизация и интеграция необходимы для того, чтобы избежать этих проблем.
Обстоятельства будут по-прежнему демонстрировать необходимость в SOC, но он должен решать эти восемь задач – или работать с поставщиком, если SOC передается на аутсорсинг, – чтобы обеспечить оптимальную защиту предприятия.