Автоматизацията на дейностите по ИТ сигурността не само ще помогне на отделите по информационна безопасност да работят по-лесно, но и ще подкрепи задържането на ценните ИТ специалисти (снимка: CC0 Public Domain)
Повсеместната автоматизация на дейностите по киберсигурност може да промени ежедневието на екипите по защитата. Ключов фактор за това ще играят “картите“ за действие в различни ситуации, а това на свой ред ще повиши важността на стандартизацията в сектора, твърдят холандски изследователи.
Кибератаките стават все по-сложни и техните разрушителни ефекти върху бизнеса и обществото се увеличават. Поради това много организации се стремят да подобрят своите способности за наблюдение на сигурността и бързо реагиране при инциденти. Те често се създават в специални центрове за операции по сигурността (SOC) и екипи за реагиране при инциденти с компютърната сигурност (CSIRT).
Въпреки че такива SOC и CSIRT са се развили значително през последното десетилетие, все още има огромна „пропаст“ между нападателите и защитниците. Докато автоматизираната кибератака може да се развихри за броени секунди, откриването и реакцията често могат да отнемат дни, седмици или дори месеци.
„Когато SOC екип получи известие за предполагаем инцидент, хората там трябва да направят анализ и да измислят най-подходящия отговор,“ казва Ричард Керкдийк, старши консултант по технологиите за киберсигурност в холандската независима изследователска фирма TNO.
„За често срещани – тоест добре известни – заплахи и събития процедурата за реагиране често е стандартизирана. Но основните задачи, такива като търсене на свързани събития или кръстосани препратки към налични източници за разузнаване – все още могат да отнемат време. И ако събитието е по-специфично, анализаторите трябва да „копаят“ доста дълго“, допълва той.
Дейностите на SOC и CSIRT често разчитат на човешки труд и опит. Точно това е причината за несъответствието между скоростта на атака и скоростта на реакция. Освен ако не бъдат направени фундаментални промени, според Керкдийк, дисбалансът ще се увеличава още повече, тъй като работата на SOC и екипите на CSIRT става все по-сложна.
„Инфраструктурите, които екипите на SOC и CSIRT защитават, стават все по-сложни и разнообразни“, обяснява експертът. „Традиционните локални мрежи сега са преплетени с различни услуги и инфраструктури, базирани на облака. Те са достъпни от широка палитра мобилни устройства. Всичко това всъщност прави трудно разбирането на събитията, свързани със сигурността, в пълната им степен – съответно и подготовката на ефективен отговор“.
Автоматизиране на защитата
За да се промени тенденцията, ще се нуждаем от тотална промяна „на правилата на играта“. Повсеместната автоматизация на операциите по киберсигурност може да направи точно това.
„Има голям потенциал за автоматизация в процесите на оперативна сигурност“, казва Керкдайк. „Очевиден двигател за такава автоматизация е ускоряването на скоростта на анализа и реакцията. Но това може и да освободи анализаторите по сигурността от рутинни (повтарящи се) задачи, така че да им осигури ресурси за по-сложни дейности“.
Ключово решение за автоматизацията на работата на SOC и CSIRT е появата на метод за автоматизация на сигурността, управлявана „по карта“, тоест по шаблонен, образцов начин. Същността на тази концепция е, че определени специфични, предварително дефинирани събития задействат стандартизиран процес на реагиране. Той се изпълнява без или само с ограничена човешка намеса. Такива процеси се записват в машинночетими ръководства за сигурност, които диктуват предварително дефинирана последователност от разследващи или коригиращи задачи.
„Традиционно наръчниците за реакция при инциденти представляват документирани инструкции за анализаторите и операторите“, казва Керкдайк. „Когато са компилирани в машинночетим формат обаче, тяхното изпълнение може да бъде автоматизирано. Технологията за автоматично изпълнение на ръководство за сигурност вече съществува и обикновено се нарича оркестрация на сигурността, автоматизация и реакция – или SOAR“.
Автоматизация на сигурността „по карта“
„SOC често управляват система за информация за сигурността и управление на събития (SIEM), която събира данни от защитената инфраструктура и създава събития и предупреждения, които анализаторите да проследяват. SOAR е решение от следващо поколение, при което голяма част от реакцията е автоматизирана,“ обясняват холандските учени.
Настоящите внедрявания на SOAR обикновено се фокусират върху автоматизирането на анализа на дадено събитие (например търсене на свързани събития, които традиционно включват копиране и поставяне и прескачане между различни екрани).
В крайна сметка обаче SOAR може и да организира действителното смекчаване на инцидентите чрез автоматично преконфигуриране на контролите за сигурност и мрежовите функции. Това може да доведе до огромни спестявания на време. Кердайк казва, че предприемането на крайната стъпка към напълно автоматизирано смекчаване на инциденти често не е технологично, а организационно предизвикателство.
„Днешните SOC имат ограничени права да извършват промени в инфраструктурата сами“, казва той. „Процесите диктуват те да изискват такива промени от отговорните технологични екипи – обикновено чрез отваряне на „билет“ за поддръжка. Въпреки че автоматизираното изпълнение на реагиращи действия е технически осъществимо, то ще изисква преразглеждане на процедурите за ИТ поддръжка и правата на SOC и екипите на CSIRT“.
В крайна сметка тези системи трябва да работят по силно автоматизиран начин и с нарастваща автономност. „Да, това наистина изисква доверие в такава система“, каза Керкдайк. „Все още не сме готови. Технологията трябва да бъде развита до ниво, на което можем да се доверим, а това отнема време.“
Друг недостатък на настоящите услуги за автоматизация на киберсигурността е, че технологията често е патентована. Поради това повечето решения на SOAR са специфични за доставчика. Следователно могат да се изпълняват само такива сценарии, каквито е определил конкретният доставчик.
Стандартизиране на картите
Важна промяна, която е на ход в момента, е, че стандартизирането на сценариите за действие в гарантирането на сигурност, донякъде подобно на картите за процедиране при инциденти, които пилотите следват при управлението на самолетите. „Чрез стандартизацията картите стават „агностици“, тоест независими от доставчика на SOAR, с който работите“, обяснява Керкдайк. Оттам следват важни промени.
„Картите могат да се споделят между организациите, дори и да не използват едно и също SOAR решение. Въпреки че картите не могат да бъдат приети от други организации едно към едно, защото всяка инфраструктура е различна, споделянето на шаблоните дава на организациите полезна основа, която те могат да конфигурират допълнително със свои собствени параметри“, допълва той.
Малко по-нататък във времето можем да очакваме да видим и споделяне на наръчниците по сигурността в стандартизирани формати. По този начин вече няма да е нужно всяка организация да „преоткрива колелото“ за всеки инцидент или събитие.
Холандците дори говорят за отворени SOAR услуги, които да стимулират развитието и приемането на технологията. Изследователският институт дори е изградил свое собствено предложение за SOAR, което пусна като технология с отворен код в средата на март.
„Ние сме много силен защитник на отворените и стандартизираните решения“, казва Керкдийк. „Нашият инструмент SOARCA е свободен от зависимости от доставчици и идва с естествена поддръжка за стандарта CACAOv2. Пуснахме го като отворен код, така че общността от професионалисти от SOC и CERT да може свободно да експериментира с концепцията за автоматизация на сигурността, управлявана по карта, и се надяваме това да допринесе за по-нататъшния й напредък“.
Автоматизацията на сигурността, управлявана по шаблонни карти, може да спести значително време и да освободи време на анализатора за извършване на по-сложни анализи на по-малко известни или нови инциденти. В крайна сметка това ще даде на организацията средство да остане привлекателна за търсените специалисти по сигурността.
„Специалистите по SOC и CSIRT са много търсени“, споделя Керкдийк. „Ако се освободят от скучните, повтарящи се задачи в полза на по-предизвикателната работа, работата им ще е по-интересна и ще им е по-лесно да задържат своите специалисти“, заключава той.
Стандартuзацията е налична -нарuча се Linux!