ОЦИБ тратят 32% рабочего дня на инциденты, не представляющие угрозы
Когда речь идет о первой линии обороны любой компании, Оперативный центр информационной безопасности (ОЦИБ или ОЦИБ) является ее важнейшим компонентом. ОЦИБ – это команда профессионалов, которая занимается мониторингом сетей и систем на предмет потенциальных угроз, анализом обнаруженных проблем и принятием необходимых мер по устранению выявленных рисков.
К сожалению, согласно новому отчету Morning Consult, сотрудники ОЦИБ тратят почти треть (32%) своего рабочего дня на расследование инцидентов, которые на самом деле не представляют реальной угрозы для бизнеса. На эти ложные тревоги тратятся ценные ресурсы, время и деньги, которые необходимы для борьбы с реальными и серьезными угрозами.
Почему статистика по ОЦИБ столь высока?
При нынешнем дефиците рабочей силы в областях, связанных с кибербезопасностью, никто не хочет тратить время на бессмысленные задачи. Так почему же процент ложных срабатываний так высок?
Одно из возможных объяснений заключается в том, что предприятия не используют правильные средства защиты, позволяющие сократить количество ложных срабатываний. Согласно отчету Morning Consult, почти половина (46%) опрошенных ОЦИБ-специалистов заявили, что среднее время обнаружения и реагирования на инцидент безопасности увеличилось за последние 2 года. По мнению 81% опрошенных ОЦИБ-специалистов, замедлению процесса обнаружения и реагирования способствуют ручные расследования. Если команда ОЦИБ использует ручные процессы или устаревшие технологии для обнаружения и расследования событий, вероятность ложных срабатываний резко возрастает.
Другая возможность заключается в том, что команда не имеет четкого представления об угрозах, с которыми сталкивается организация. В результате они забрасывают слишком широкую сеть и в итоге теряют время на расследование потенциально безобидных тревог. Как правило, это связано с отсутствием обучения (или соответствующего бюджетирования) для обеспечения использования командами самых современных технологий и процессов безопасности.
Как предприятиям бороться с этой проблемой?
Несмотря на высокий уровень неэффективности современных ОЦИБ, не все так плохо. Существуют проверенные способы повысить эффективность работы этих групп, сведя к минимуму количество ложных срабатываний и нерациональное использование ресурсов.
Внедрение принципов безопасности SOAR
Модель Security Orchestration, Automation, and Response (SOAR) позволяет объединить и усовершенствовать различные операции по обеспечению безопасности в единый процесс. Она помогает командам ОЦИБ интегрировать средства обеспечения безопасности, автоматизировать ручные процессы и способствовать принятию интеллектуальных решений.
Команды ОЦИБ могут внедрять принципы SOAR в свою деятельность несколькими различными способами:
– Автоматизация повторяющихся задач: ОЦИБ-команды часто тратят много времени и ресурсов на выполнение повторяющихся и рутинных задач. Модель SOAR позволяет легко автоматизировать их, позволяя ОЦИБ-командам сосредоточиться на более важных операциях по обеспечению безопасности;
– Сотрудничество и коммуникация: В модели SOAR особое внимание уделяется сотрудничеству и общению между различными заинтересованными сторонами, включая службы безопасности, ИТ-отделы и бизнес-подразделения. Это помогает ОЦИБ-командам получить более полное представление о текущей ситуации в области безопасности и принимать более обоснованные решения;
– Контекстная разведка: Используя внутренние и внешние данные об угрозах, команды ОЦИБ могут лучше понимать возникающие угрозы. Модели SOAR используют алгоритмы машинного обучения и искусственного интеллекта для анализа данных об угрозах и получения информации в режиме реального времени, что может помочь командам ОЦИБ реагировать на угрозы, вероятность возникновения которых выше.
Инвестиции в инструменты SIEM
Чтобы минимизировать риск киберугроз, ОЦИБ должны инвестировать в современные средства анализа безопасности, включая программное обеспечение для управления информацией и событиями безопасности (SIEM), для выявления, определения приоритетов и эффективного реагирования. Программное обеспечение SIEM повышает точность обнаружения и реагирования на реальные угрозы, а также минимизирует вероятность ложных срабатываний.
SIEM анализирует журналы безопасности организации и оповещает команды ОЦИБ о возникновении инцидента безопасности. Однако без достаточного контекста инструмент SIEM может генерировать множество ложноположительных предупреждений. Именно здесь на помощь приходит искусственный интеллект (ИИ). По мнению 39% специалистов ОЦИБ, опрошенных в отчете, наибольшее влияние на увеличение времени реагирования на угрозы оказало бы расширение возможностей искусственного интеллекта и автоматизации в инструментах.
Средства защиты с искусственным интеллектом предназначены для использования контекстных данных (таких как сетевой трафик, активность пользователей и внешние угрозы) для обнаружения новых и возникающих моделей, которые могут указывать на вредоносное поведение. Предоставляя SIEM-инструменту дополнительный контекст, команды ОЦИБ могут значительно сократить количество ложноположительных предупреждений и повысить эффективность обнаружения и реагирования на угрозы в режиме реального времени.
Максимальное повышение производительности благодаря четко разработанным планам реагирования на инциденты.
Еще один способ существенно снизить влияние ложных срабатываний на продуктивность работы ОЦИБ-команд – это наличие четко разработанных планов реагирования на инциденты. Внедрение четко разработанного плана реагирования на инциденты позволяет ОЦИБ-командам максимально повысить свою производительность и сосредоточиться на реальных угрозах.
Вот несколько способов, с помощью которых планы реагирования на инциденты могут оказать положительное влияние на команды ОЦИБ:
– Стандартизация процессов: Планы реагирования на инциденты обеспечивают стандартизированный подход к работе с инцидентами безопасности. Это означает, что ОЦИБ-команды могут быстро определить тип события, оценить его потенциальное воздействие и отреагировать соответствующим образом. Наличие последовательного процесса позволяет командам экономить время и снижает риск упустить из виду критические проблемы.
– Определение приоритетов оповещений: При наличии четко разработанного плана реагирования на инциденты команды ОЦИБ могут определять приоритеты оповещений в зависимости от степени их серьезности и потенциального воздействия. Это означает, что команды могут сосредоточиться на наиболее важных проблемах и сократить время, затрачиваемое на расследование несерьезных событий.
– Улучшение коммуникации: Планы реагирования на инциденты также способствуют улучшению коммуникации между членами команды. Благодаря прозрачности процесса члены команды могут быстро понять свои роли и обязанности во время инцидента. Четкая коммуникация помогает командам работать более эффективно и обеспечивает единство взглядов при решении проблем.
Убедитесь, что вы получаете максимальную отдачу от ОЦИБ
Содержание ОЦИБ может быть сопряжено со значительными затратами. Поэтому очень важно обеспечить максимальную отдачу от инвестиций. Оснащение команды инструментами и процессами, необходимыми для успешной работы, имеет решающее значение.
Если ОЦИБ работает лишь на две трети от своего потенциала, это может обойтись организации дороже, чем первоначальные инвестиции. Инвестируя в современные средства анализа безопасности и четко разработанные планы реагирования на инциденты, специалисты ОЦИБ смогут максимально повысить эффективность своей работы и снизить риск ложных срабатываний.
Сегодня компаниям как никогда важно настроить свои ОЦИБ на успех. Обеспечение групп ОЦИБ необходимыми инструментами и процессами сегодня позволит построить более безопасное и экономически эффективное будущее.
Источник:
https://securityintelligence.com/articles/ОЦИБs-spend-32-percent-day-incidents-pose-no-threat/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-siem/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-soar/
https://icore.kz/upravlenie-inczidentami/
Автор:
Josh Nadeau
Перевод и дополнения:
Лебедев А.В.