Безопасность быстро меняется, и никогда еще не было так важно, чтобы команды обладали навыками, необходимыми для защиты инфраструктуры и конфиденциальных данных своей компании. Однако в целом организации недооценивают кибербезопасность. Команды операционных центров безопасности (SOC) часто недоукомплектованы, перегружены работой и получают мало информации. В условиях постоянно меняющегося ландшафта угроз требуются новые навыки, чтобы опережать киберпротивников.
Вот пять основных навыков, которые необходимы современной команде SOC, чтобы преуспеть в будущем в области высокомасштабного обнаружения и реагирования.
Базовое кодирование
Everything-as-code — термин, используемый для выражения практики распространения идеи о том, что приложения рассматриваются как код для операционных систем, сетевых конфигураций и конвейеров — значительно изменил методы работы групп безопасности и необходимые им навыки. Если в прошлом работа в SOC не требовала навыков кодирования, то сегодня они необходимы.
Detection-as-code — современный и систематический способ написания обнаружений с использованием принципов программной инженерии — означает, что команды должны иметь возможность создавать индивидуальные правила, которые можно надлежащим образом тестировать, управлять версиями и программно управлять ими в системе контроля версий. Гибкость и надежность полноценных языков программирования позволяют командам обнаруживать как простые, так и сложные модели поведения, а также собирать, обогащать и рассказывать всю историю произошедшего.
Команды безопасности должны вкладывать средства в изучение основ разработки программного обеспечения путем решения реальных проблем, с которыми они сталкиваются, например, анализируя огромные объемы необработанных данных. Им следует научиться писать код, который в первую очередь является функциональным, а затем вернуться к изучению лучших практик, модульного тестирования и других методов, которые помогают поддерживать устойчивость хорошего кода. Команды безопасности также могут учиться у членов различных команд разработчиков программного обеспечения в своей организации, чтобы помочь в перекрестном обучении. Начните с интерпретируемых языков, таких как Python или Ruby, которые имеют простой и понятный синтаксис с компромиссами по производительности.
Облачные технологии
Пожалуй, все современные технологические компании построены на облачных сервисах, таких как Amazon Web Services или Google Cloud. Облачные сервисы постоянно продвигаются вверх по инфраструктурному стеку, упрощая сложные концепции. По мере того, как происходит этот переход, команды безопасности должны постоянно следить за сбором соответствующих данных, чтобы оставаться в курсе событий, и устанавливать жесткий контроль для предотвращения случайного раскрытия данных или системы.
Специалисты по безопасности должны начать с изучения основных услуг, таких как облачное хранилище, вычисления, управление идентификацией и доступом и многое другое. Как и в случае с кодированием, начните с решения реальных проблем, таких как хранение, обработка и хранение данных безопасности, или работайте над укреплением существующей инфраструктуры своей компании. Также существует множество эталонных архитектур, которые могут служить полезными моделями обучения.
Конвейеры ведения журналов безопасности
Все команды используют программное обеспечение как услугу вместо локальных решений, которые находятся за брандмауэром, что означает, что данные безопасности разбросаны по множеству сервисов с гораздо менее централизованным контролем. Появление таких инструментов, как Google Workspaces, Auth0, Okta, Duo, Jamf и многих других, приводит к необходимости централизации этих данных. Проблема заключается в том, что журналы имеют различные форматы, API и методы для аутентификации и сбора данных.
Команды должны собирать как можно больше данных, чтобы оставаться информированными и защищаться. Они должны создавать внутренние конвейеры протоколирования с помощью таких инструментов, как rsyslog, vector, fluentd или logstash. Команды безопасности должны знать, как эти инструменты настраиваются, масштабируются и подключаются к другим системам, таким как облачные хранилища и SIEM.
TTP злоумышленника.
Хорошее понимание последних методов, тактик и процедур (TTPs) злоумышленников может помочь командам разработать надежный набор средств обнаружения, которые управляют несколькими векторами в их среде, Отслеживание недавних нарушений может помочь им понять современные модели угроз и методы, которые могут поставить под угрозу их организацию. Хорошим примером является рост числа атак программ-вымогателей. Обнаружения должны быть достаточно точными, чтобы не генерировать слишком много предупреждений, а благодаря использованию языков программирования команды могут тестировать и показывать более сложные атаки.
Охота за угрозами
По мере того, как киберпреступники становятся все более изощренными, команды безопасности должны применять более проактивный подход к выявлению ранее неизвестных или текущих не устраняемых угроз в облачной инфраструктуре своей организации. Поскольку сложные современные постоянные угрозы могут скрываться в течение недель или даже месяцев, современные команды SOC должны быть обучены дополнять автоматизированные системы и искать скрытые вредоносные программы или злоумышленников путем выявления моделей подозрительной активности
Группы безопасности часто небольшие, не укомплектованы кадрами и, как правило, не имеют опыта в DevOps или программной инженерии. Тем не менее, для высокомасштабного мониторинга требуются эти навыки. Кроме того, специалисты по безопасности должны понимать, как использовать инструментарий системы для получения необходимых данных, и создавать надежные, отказоустойчивые и эластичные конвейеры обработки данных для обработки этих данных.
Специалистам по безопасности следует повышать свою квалификацию — от изучения основ программирования до понимания облачной инфраструктуры. Злоумышленники, готовые атаковать их системы, действительно грозны, но современные инструменты и высококвалифицированные специалисты по безопасности могут справиться с задачами защиты.
Если у вас есть вопросы о решениях Fidelis Cybersecurity и о том, как они могут помочь защитить ваши критически важные данные от передовых угроз, свяжитесь с нами:
Украина, Грузия, Армения — і[email protected], +380 67 223 42 10.
Узбекистан, Кыргызстан, Таджикистан, Туркменистан — [email protected], +99897 746 83 40.
Азербайджан — [email protected], +994 50 6826105.
Казахстан — [email protected], +7 775 395 0803.
Беларусь, Молдова, Румыния — [email protected], +373 686 76535.
Источник: https://cutt.ly/8RB1zeX