Наверняка вы знаете о системе оценки качества бриллиантов 4 «С». Согласно международному стандарту оценки наиболее ценных характеристик бриллиантов, созданному в 1953 году Геммологическим Институтом Америки (GIA), 4 «С» означают: cut, color, clarity and carat weight (огранка, цвет, чистота и вес). 4С – неплохой мнемонический прием для запоминания категорий оценки.
Как не существовало общепринятого метода для оценки качества бриллианта или его относительной стоимости до 1953 года, так и сейчас мы находимся на таком этапе развития информационной безопасности, где линейка автоматизированных систем реагирования на инциденты (IRP) непрерывно расширяется, однако, по-прежнему нет общепринятого метода оценки качества и ценности этих систем.
На рынке растет число продуктов, которые относятся к категориям:
- Системы автоматизированного реагирования на инциденты (IRP)
- Платформы автоматизации и управления безопасностью (Security Automation and Orchestration platforms)
- Платформы анализа безопасности и оперативного реагирования (SecurityOperationsandAnalyticsPlatformArchitecture (SOAPA), как их называет JonOltsik (ESG))
Следуя примеру GIA, какими будут 4 «С» для оценки автоматизированного реагирования на инциденты? Данный вопрос открыт для обсуждений, но напрашивается следующий вариант:
- Первое «С»: Connection (Интеграция)
Любое решение, предназначенное для автоматизации процесса реагирования на события безопасности, расследования угроз и устранения инцидентов должно иметь возможность интегрироваться с существующими средствами безопасности. Ожидать единый инструмент для замены всех существующих решений на рынке в лучшем случае будет просто несбыточной мечтой, а в худшем – приведет к катастрофе.
- Второе «C»: Capacity (производительность)
Автоматизация реагирования на инциденты должна увеличивать производительность. Заменив всю механическую, однообразную и кропотливую работу по расследованию всех потенциальных угроз, автоматизированные системы должны увеличить производительность. Они возьмут на себя нагрузку и позволят ценным ресурсам сосредоточиться на более важной работе.
- Третье «С» Capability (Возможности)
Любое автоматизированное решение для реагирования на инциденты должно предоставить новые возможности, которых раньше не было. Увеличение скорости – это хорошо, но новые возможности вместе со скоростью преумножают мощность IRP.
Несколько примеров новых возможностей:
- Система, которая может на основании расследования одного инцидента начать параллельное расследование другого инцидента.
- Решение, которое может использовать искусственный интеллект для сравнения и выявления новых угроз.
- Инструмент, который может выявить атаку вымогателей (ransomware) в реальном времени.
- Четвертое «С»: Confidence (Доверие)
Под этим термином понимается возможность пользователя оставаться спокойным, зная, что любое предупреждение или угроза, маленькая или большая, будут расследованы. Сегодня многие компании настраивают свои системы обнаружения в соответствии с требуемым уровнем аналитического функционала. Столько же компаний уверят вас, что они не игнорируют маловажные оповещения, а добавляют их в хранилище и оставляют на следующий день. Тем не менее, глядя на последние громкие инциденты, например с компанией Sony или ритейлером Target, можно заметить, что взлом произошел не из-за ошибки обнаружения. Угрозы были обнаружены и оповещения были отправлены, даже несколько раз, но из-за нехватки мощности, они даже не были расследованы. Любая IRP должна быть способна изучить все инциденты своевременно для того, чтобы дать клиенту уверенность в том, что важные оповещения будут замечены и не затеряются в логах.
Как мы видим, чтобы решить проблемы автоматизации реагирования на инциденты, можно воспользоваться этой схемой, чтобы понять, в каких областях автоматизация может принести наибольшую пользу. Какие еще «С», по Вашему мнению, можно было бы добавить в этот список?