Ось п’ять навичок, які потрібні сучасним командам SOC, від базового програмування до пошуку загроз, щоб успішно орієнтуватися в майбутньому в галузі великомасштабного виявлення та реагування.
Безпека швидко змінюється, і ніколи ще не було так важливо, щоб команди мали навички, необхідні для захисту інфраструктури та конфіденційних даних своєї компанії. Проте загалом організації недооцінюють кібербезпеку. Команди операційних центрів безпеки (SOC) часто недоукомплектовані, перевантажені роботою та отримують мало інформації. В умовах постійно мінливого ландшафту загроз потрібні нові навички, щоб випереджати кіберпротивників.
Ось п’ять основних навичок, які необхідні сучасній команді SOC, щоб досягти успіху в майбутньому в області високомасштабного виявлення та реагування.
-
- Базове кодування
Everything-as-code – термін, що використовується для вираження практики поширення ідеї про те, що програми розглядаються як код для операційних систем, мережевих конфігурацій та конвеєрів – значно змінив методи роботи груп безпеки та необхідні їм навички. Якщо у минулому робота у SOC не вимагала навичок кодування, то сьогодні вони необхідні.
Detection-as-code – сучасний та систематичний спосіб написання виявлень з використанням принципів програмної інженерії – означає, що команди повинні мати можливість створювати індивідуальні правила, які можна належним чином тестувати, керувати версіями та програмно керувати ними у системі контролю версій. Гнучкість та надійність повноцінних мов програмування дозволяють командам виявляти як прості, так і складні моделі поведінки, а також збирати, збагачувати та розповідати всю історію того, що сталося.
Команди безпеки повинні вкладати кошти у вивчення основ розробки програмного забезпечення шляхом вирішення реальних проблем, з якими вони стикаються, наприклад, аналізуючи величезні обсяги необроблених даних. Їм слід навчитися писати код, який насамперед є функціональним, а потім повернутися до вивчення найкращих практик, модульного тестування та інших методів, що допомагають підтримувати стійкість хорошого коду. Команди безпеки також можуть навчатися у різних команд розробників програмного забезпечення у своїй організації, щоб допомогти у перехресному навчанні. Почніть з інтерпретованих мов, таких як Python або Ruby, які мають простий та зрозумілий синтаксис з компромісами щодо продуктивності.
-
- Хмарні технології
Мабуть, всі сучасні технологічні компанії збудовані на хмарних сервісах, таких як Amazon Web Services або Google Cloud. Хмарні послуги постійно просуваються вгору інфраструктурним стеком, спрощуючи складні концепції. У міру того, як відбувається цей перехід, команди безпеки повинні постійно стежити за збором відповідних даних, щоб залишатися в курсі подій, і встановлювати жорсткий контроль для запобігання випадковому розкриттю даних або системи.
Фахівці з безпеки повинні почати з вивчення основних послуг, таких як хмарне сховище, обчислення, управління ідентифікацією та доступом та багато іншого. Як і у випадку з кодуванням, почніть із вирішення реальних проблем, таких як зберігання, обробка та зберігання даних безпеки, або працюйте над зміцненням існуючої інфраструктури своєї компанії. Також існує безліч еталонних архітектур, які можуть бути корисними моделями навчання.
-
- Конвеєри ведення журналів безпеки
Всі команди використовують програмне забезпечення як послугу замість локальних рішень, які знаходяться за брандмауером, що означає, що дані безпеки розкидані по безлічі сервісів з менш централізованим контролем. Поява таких інструментів, як Google Workspaces, Auth0, Okta, Duo, Jamf та багатьох інших, призводить до необхідності централізації цих даних. Проблема полягає в тому, що журнали мають різні формати, API та методи для автентифікації та збору даних.
Команди повинні збирати якомога більше даних, щоб залишатися інформованими та захищатися. Вони повинні створювати внутрішні конвеєри протоколювання за допомогою таких інструментів, як rsyslog, vector, fluentd або logstash. Команди безпеки повинні знати, як ці інструменти налаштовуються, масштабуються та підключаються до інших систем, таких як хмари та SIEM.
-
- TTP зловмисник.
Хороше розуміння останніх методів, тактик і процедур (TTPs) зловмисників може допомогти командам розробити надійний набір засобів виявлення, які керують кількома векторами в їхньому середовищі. Хорошим прикладом є зростання кількості атак програм-вимагачів. Виявлення мають бути досить точними, щоб не генерувати занадто багато попереджень, а завдяки використанню мов програмування команди можуть тестувати та показувати складніші атаки.
-
- Полювання на погрози
У міру того, як кіберзлочинці стають все більш витонченими, команди безпеки повинні застосовувати більш проактивний підхід до виявлення раніше невідомих або поточних загроз, що не усуваються в хмарній інфраструктурі своєї організації. Оскільки складні сучасні постійні загрози можуть ховатися протягом тижнів або навіть місяців, сучасні команди SOC мають бути навчені доповнювати автоматизовані системи та шукати приховані шкідливі програми чи зловмисників шляхом виявлення моделей підозрілої активності.
Групи безпеки часто невеликі, не укомплектовані кадрами і зазвичай не мають досвіду в DevOps або програмної інженерії. Тим не менш, для високомасштабного моніторингу потрібні ці навички. Крім того, фахівці з безпеки повинні розуміти, як використовувати інструментарій системи для отримання необхідних даних, і створювати надійні, стійкі до відмови і еластичні конвеєри обробки даних для обробки цих даних.
Фахівцям з безпеки слід підвищувати свою кваліфікацію – від вивчення основ програмування до розуміння хмарної інфраструктури. Зловмисники, які готові атакувати їхні системи, дійсно грізні, але сучасні інструменти та висококваліфіковані фахівці з безпеки можуть впоратися із завданнями захисту.
Джерело: https://cutt.ly/8RB1zeX
