データ侵害は1日のニュースになります。その後に残る被害は数年続きます。
重大なビジネスリスクは、1つの破局的な瞬間ではありません。それは段階的な侵食です — 侵害期間が複合して横方向の移動になり、侵害されたサプライヤーがあなたの侵害になり、コンプライアンスギャップが7桁の罰金になります。
反応型のセキュリティはその瞬間に対応できます。プロアクティブなセキュリティのみが蓄積に対する耐性を構築します。そしてこのシフトを可能にする運用層は脅威インテリジェンスです。 成熟したSOCはこれを理解しています。ここは最良のSOCがこれをどのように運用しているかです。
攻撃者は素早く動きます。SOCはさらに素早く動く必要があります。 最初の戦術は、継続的に更新される脅威インテリジェンスストリームによって動かされる運用速度です。
初期 侵害と検出の間の毎分は、ビジネス露出を拡大させます:より多くのシステムが侵害され、より多くの認証情報が抽出され、より多くの運用混乱が発生し、より多くの規制上の結果が生じます。MTTRは単なる技術的指標ではありません。それはアクティブなビジネスリスクの継続時間です。
従来のエンリッチメントワークフローは危険な遅延を引き起こします。アナリストは複数のプラットフォーム間を移動し、手動で インジケーターを検証し、アラートが重要であるかどうかを判断することに貴重な時間を費やします。 成熟したSOCは 継続的なインテリジェンス配信を通じてそのボトルネックを排除します。
成熟したSOCにとって、速度は損傷が発生した後の高速反応についてではありません。それは攻撃者が最初の段階で作成できる損傷の量を減らすことについてです。
多くのSOCはまだ 断片化されたインジケーターで満たされた環境で 運用されています:ハッシュ、ドメイン、IP、URL。しかし成熟したチームは、生のインジケーターだけではリスク、意図、または運用関連性をほとんど説明しないことを知っています。その結果はノイズ、誤検知、および一貫性のない意思決定です。
2番目の戦術は文脈的インテリジェンスです。高性能なSOCは、すべてのインジケーターを行動的意味、インフラストラクチャ関係、TTP、および実世界の攻撃実行へのリンクでエンリッチします。彼らはアナリストを「このIOCは何ですか?」という質問から「この脅威は当社の環境内でどのように機能しますか?」という質問に数秒以内に移動させます。
単一の疑わしいインジケーターから、アナリストは関連インフラストラクチャ、関連するマルウェアファミリー、およびライブ環境での攻撃の展開を示すリンクされたサンドボックスセッションへのスレッドをフォローできます。
文脈は戦略的にも重要です。成熟したSOCは、一般的な深刻度スコアではなく、業界ターゲット、地理的活動、攻撃チェーン、および運用関連性に基づいて脅威を優先することがますます多くなっています。
最初の2つの戦術はSOCをより高速かつ鋭くします。この3番目の戦術は、その独自の運用上の重みの下で崩壊するのを防ぎます。
アラート疲れはSOCのパフォーマンスに対する最も過小評価された脅威です。組織は平均して1日に960のセキュリティアラートに直面しており、20,000人以上の従業員を持つエンタープライズは3,000以上を受け取っています。
Tines Voice of the SOC Analystレポートによると、71%のSOCアナリストがバーンアウトを報告しており、平均的なアナリスト勤続年数が短縮され、一部のSOCは18ヶ月未満の離職サイクルを経験しています。
経験豊富なアナリストがバーンアウトして去ると、機関はどのオンボーディングドキュメントも捉えていない暗黙的な パターン 認識を失います。残りのチームはより重い負荷を吸収し、同じ出口への独自のパスを加速させます。
成熟したSOCは、認知負荷管理と呼ぶことができるもので対処します:不要な分析的ストレインを減らしながら調査上の信頼を増加させるワークフローの設計。人間 の判断は交換不可能なところに適用され、そうでないところでは自動化されます。
脅威インテリジェンスはこの分野の中心です。すべてのアラートが事前にエンリッチされて到着したとき (評決はすでに既知、関連する文脈はすでに添付、深刻度はすでに実世界の攻撃データに対して調整)、アナリストは手動での研究と検証ではなく、調査と対応に認知予算を費やします。
最も重要なことに、組織は生存戦略として継続的な人間の過剰拡張にあまり依存しなくなります。
最も成熟したSOCは、脅威インテリジェンスをサポーティング付属物として見なくなりました。彼らはそれを 運用 インフラストラクチャとして扱っています。このシフトはサイバーセキュリティを反応型のインシデント管理から積極的なビジネスレジリエンスに変えます。
サイバー圧力を吸収する組織とそれの下で分裂する組織の 違い は、1つの能力に要約されます:セキュリティ運用のすべてのレイヤーに直接埋め込まれた運用化された脅威インテリジェンス。
翻訳元: https://cyberpress.org/mature-socs-risk-reduction-tactics/
