Четыре «С» автоматического реагирования на инциденты

Наверняка вы знаете о системе оценки качества бриллиантов 4 «С». Согласно международному стандарту оценки наиболее ценных характеристик бриллиантов, созданному в 1953 году Геммологическим Институтом Америки (GIA), 4 «С» означают: cut, color, clarity and carat weight (огранка, цвет, чистота и вес). 4С — неплохой мнемонический прием для запоминания категорий оценки.

Как не существовало общепринятого метода для оценки качества бриллианта или его относительной стоимости до 1953 года, так и сейчас мы находимся на таком этапе развития информационной безопасности, где линейка автоматизированных систем реагирования на инциденты (IRP) непрерывно расширяется, однако, по-прежнему нет общепринятого метода оценки качества и ценности этих систем.

На рынке растет число продуктов, которые относятся к категориям:

  • Системы автоматизированного реагирования на инциденты (IRP)
  • Платформы автоматизации и управления безопасностью (Security Automation and Orchestration platforms)
  • Платформы анализа безопасности и оперативного реагирования (SecurityOperationsandAnalyticsPlatformArchitecture (SOAPA), как их называет JonOltsik (ESG))

Следуя примеру GIA, какими будут 4 «С» для оценки автоматизированного реагирования на инциденты? Данный вопрос открыт для обсуждений, но напрашивается следующий вариант:

  1. Первое «С»: Connection (Интеграция)

Любое решение, предназначенное для автоматизации процесса реагирования на события безопасности, расследования угроз и устранения инцидентов должно иметь возможность интегрироваться с существующими средствами безопасности. Ожидать единый инструмент для замены всех существующих решений на рынке в лучшем случае будет просто несбыточной мечтой, а в худшем — приведет к катастрофе.

  1. Второе «C»: Capacity (производительность)

Автоматизация реагирования на инциденты должна увеличивать производительность. Заменив всю механическую, однообразную и кропотливую работу по расследованию всех потенциальных угроз, автоматизированные системы должны увеличить производительность. Они возьмут на себя нагрузку и позволят ценным ресурсам сосредоточиться на более важной работе.

  1. Третье «С» Capability (Возможности)

Любое автоматизированное решение для реагирования на инциденты должно предоставить новые возможности, которых раньше не было. Увеличение скорости — это хорошо, но новые возможности вместе со скоростью преумножают мощность IRP.

Несколько примеров новых возможностей:

  • Система, которая может на основании расследования одного инцидента начать параллельное расследование другого инцидента.
  • Решение, которое может использовать искусственный интеллект для сравнения и выявления новых угроз.
  • Инструмент, который может выявить атаку вымогателей (ransomware) в реальном времени.
  1. Четвертое «С»: Confidence (Доверие)

Под этим термином понимается возможность пользователя оставаться спокойным, зная, что любое предупреждение или угроза, маленькая или большая, будут расследованы. Сегодня многие компании настраивают свои системы обнаружения в соответствии с требуемым уровнем аналитического функционала. Столько же компаний уверят вас, что они не игнорируют маловажные оповещения, а добавляют их в хранилище и оставляют на следующий день.  Тем не менее, глядя на последние громкие инциденты, например с компанией Sony или ритейлером Target, можно заметить, что взлом произошел не из-за ошибки обнаружения. Угрозы были обнаружены и оповещения были отправлены, даже несколько раз, но из-за нехватки мощности, они даже не были расследованы.  Любая IRP должна быть способна изучить все инциденты своевременно для того, чтобы дать клиенту уверенность в том, что важные оповещения будут замечены и не затеряются в логах.

Как мы видим, чтобы решить проблемы автоматизации реагирования на инциденты, можно воспользоваться этой схемой, чтобы понять, в каких областях автоматизация может принести наибольшую пользу.  Какие еще «С», по Вашему мнению, можно было бы добавить в этот список?

Поделиться записью:
Scroll Up