Bezpečnostní operační centra (SOC) jsou dnes zahlcena. Analytici denně zpracovávají tisíce upozornění a tráví značnou část času pronásledováním falešných poplachů a reaktivním přizpůsobováním detekčních pravidel. SOC často postrádají environmentální kontext a relevantní informace o hrozbách potřebné k rychlému ověření, která upozornění jsou skutečně škodlivá. Výsledkem je, že analytici tráví nadměrné množství času manuálním třídění upozornění, z nichž většina je klasifikována jako neškodná.
Řešení základní příčiny těchto slepých míst a únavy z upozornění není tak jednoduché jako implementace přesnějších nástrojů. Mnoho tradičních nástrojů je velmi přesných, ale jejich zásadní chybou je nedostatek kontextu a úzké zaměření. Sofistikovaní útočníci mezitím zneužívají expozice neviditelné pro tradiční reaktivní nástroje, často se vyhýbají detekci.
Útočníci nespojují pouze jednu útočnou techniku, nevyužívají pouze jeden typ expozice ani nezneužívají jediné CVE při narušení prostředí. Místo toho řetězí více expozic dohromady, využívají známá CVE tam, kde je to užitečné, a používají techniky vyhýbání se k laterálnímu pohybu napříč prostředím. Jednotlivě mohou tradiční bezpečnostní nástroje detekovat jednu nebo více těchto expozic, ale bez kontextu odvozeného z hluboce integrovaného programu kontinuální správy expozic může být pro bezpečnostní týmy téměř nemožné efektivně korelovat jinak zdánlivě nesouvisející signály.
Výhody SecOps v každé fázi kybernetického životního cyklu
Platformy pro správu expozic mohou pomoci transformovat SOC operace tím, že vplétají informace o expozicích přímo do stávajících pracovních postupů analytiků. Viditelnost útočné plochy a vhled do propojených expozic poskytuje obrovskou hodnotu, ale to je jen začátek.
Tradiční detekční nástroje generují upozornění na základě signatur a behaviorálních vzorců, ale postrádají environmentální kontext. Kontinuální správa expozic to transformuje poskytováním kontextu v reálném čase o systémech, konfiguracích a zranitelnostech zapojených do každého upozornění. Když se spustí detekce, SOC analytici okamžitě chápou, jaké expozice existují na postiženém systému, které útočné techniky jsou životaschopné vzhledem k aktuální konfiguraci, jak vypadá potenciální rozsah dopadu a jak toto upozornění zapadá do známých útočných cest.
Třídění upozornění se stává dramaticky efektivnějším, když analytici mohou okamžitě posoudit skutečný rizikový potenciál každého upozornění. Místo třídění založeného na obecných skóre závažnosti poskytuje správa expozic kontext rizika specifický pro dané prostředí.
Během vyšetřování poskytuje kontinuální správa expozic analytikům podrobnou analýzu útočných cest ukazující přesně, jak by protivník mohl zneužít aktuální upozornění jako součást širší kampaně. To zahrnuje pochopení všech životaschopných útočných cest na základě skutečné síťové topologie, přístupových vztahů a systémových konfigurací.
Aktivity reakce se stávají přesnějšími, když jsou vedeny informacemi o expozicích. Místo širokých opatření k zadržení, která by mohla narušit obchodní operace, mohou SOC týmy implementovat chirurgické reakce, které řeší konkrétní zneužívané expozice.
Budoucnost SOC operací
Budoucnost SOC operací nespočívá ve zpracování více upozornění rychleji, ale v prevenci podmínek, které generují zbytečná upozornění, při současném rozvoji laserově zaměřených schopností proti hrozbám, na kterých nejvíce záleží. Kontinuální správa expozic poskytuje environmentální povědomí, které transformuje obecné bezpečnostní nástroje na přesné instrumenty.
V éře, kdy jsou aktéři hrozeb stále sofistikovanější a vytrvalejší, potřebují SOC každou výhodu, kterou mohou získat. Schopnost proaktivně formovat bojiště, eliminovat expozice, ladit detekce a vyvíjet vlastní schopnosti založené na environmentální realitě může být rozdílem mezi tím, zda zůstanete před hrozbami, nebo neustále dohánět.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
