Năm điều cần cân nhắc khi phát triển Trung tâm an ninh bảo mật

Một vấn đề phổ biến mà các tổ chức gặp phải là tập trung quá nhiều vào đầu tư công nghệ để giải quyết vấn đề trong khi không tính toán đến các vấn đề liên quan đến nhân lực và chi phí xử lý. Công nghệ truyền thống là một khu vực dễ định lượng hơn nhiều so với các yếu tố như nhân sự, hoặc các yêu cầu tài trợ từ hội đồng quản trị trở nên dễ dàng hơn.

Thay vào đó, các tổ chức nên bắt đầu với năm yếu tố chính cần cân nhắc sau đây nếu họ muốn tận dụng tối đa SOC của họ.

1. Hiểu cách thu thập và ứng dụng dữ liệu thông minh từ nội bộ đến bên ngoài tổ chức

SOC chỉ tốt khi độ tin cậy và tính trung thực của dữ liệu được cung cấp đầy đủ cho công cụ, máy móc và hoạt động. Cho dù phát triển trên một SOC hiện có, hoặc phải lập kế hoạch để thiết kế một SOC mới, thì nó đều rất quan trọng để xác định sự sẵn có và sự tin cậy của dữ liệu thông minh sẽ được thừa hưởng trong nội bộ và bên ngoài của tổ chức.

Dữ liệu thông minh có thể bao gồm từ các công cụ bảo mật truyền thống, chẳng hạn như chu vi tường lửa để xây dựng theo bối cảnh riêng, bao gồm các đặc điểm hành vi của người dùng và thực thể liên quan. Quan trọng hơn, các mối đe dọa an ninh cũng có các loại chiến thuật, chiến lược và hoạt động như các đối tượng khác nhau trong tổ chức để thiết lập những ưu tiên khác nhau về dữ liệu thông minh mà họ cần cho mỗi vai trò của chúng.

Mỗi nguồn dữ liệu đều có điểm mạnh và điểm yếu riêng. Các đường link điều hướng của dữ liệu thông minh dù ít nhưng tùy theo bối cảnh sẽ cho phép một cá nhân thông tin cần thiết để đưa ra những hành động thích hợp. Các manh mối kỹ thuật của một cuộc tấn công tạo nên một bức tranh nhưng phụ thuộc vào sự hiểu biết về hành vi của con người mà những kẻ tấn công có thể kết nối các manh mối với nhau để tạo ra một phản ứng phù hợp với mục đích của chúng.

Dữ liệu chiến thuật trở nên có ý nghĩa hơn khi áp dụng vào các chiến lược mà nhóm bảo mật có thể thu thập về các công cụ và chiến thuật được sử dụng bởi những kẻ tấn công. Hoạt động tình báo sử dụng bối cảnh và dữ liệu chiến thuật thông minh để đưa ra một giải pháp tại chỗ để giúp ngăn chặn, phát hiện và phản ứng hiệu quả hơn.

Hiểu được giá trị của tổ chức và những khoảng trống có thể bị tấn công trong an ninh bảo mật có thể đem lại rất nhiều lợi ích, ví dụ như bằng cách tính đến các hành động được thực hiện bởi các nhà phân tích trong suốt cuộc điều tra. Thông thường, sau một sự cố an ninh, rất nhiều dữ liệu thông minh có giá trị được cung cấp để thúc đẩy cải tiến công nghệ và quy trình bảo mật.

2. Vai trò và trách nhiệm

Một sai lầm giữa các tổ chức được quan sát trên toàn cầu là hoạt động mua lại các nguồn dữ liệu thông minh nhưng không tính đến yếu tố con người và quy trình cho phép nhận dạng, ra quyết định, giải quyết và đánh giá giá trị theo bối cảnh từ các nguồn này.

Một nhóm SOC nên được khuyến khích phân định rõ ràng trách nhiệm nhằm cho phép họ liên tục cải thiện hoạt động. Một mô hình hoạt động được hỗ trợ với một RACI để ghi lại hoạt động và các quy trình là một yếu tố thành công quan trọng cho một hoạt động nhất quán và có thể mở rộng. Ví dụ, một nhà phân tích an ninh về các mối đe dọa có thể xem xét và phân loại dữ liệu và sự kiện thành một danh  mục ưu tiên cho từng trường hợp sử dụng. Đồng thời nó cũng hỗ trợ việc thực hiện theo quy trình được ghi lại để truyền đạt các trường hợp sử dụng để tiến hành phân tích và đánh giá kỹ thuật công cụ. Các khung như STIX / TAXII và CybOX cung cấp một nền tảng vững chắc để tận dụng danh mục dữ liệu có liên quan và đưa ra cách truyền đạt dữ liệu với các đồng nghiệp để tăng cường vai trò và trách nhiệm của SOC.

Vai trò và trách nhiệm được xác định và được ghi lại trong SOC nên được điều chỉnh để kích hoạt danh mục dịch vụ SOC. Các dịch vụ được liên kết với các tính năng nhận dạng, phản hồi, kỹ thuật, giao tiếp và báo cáo giúp giảm thiểu các mối đe dọa hoặc vấn đề mới có thể bị bỏ qua do các giả định về trách nhiệm hoặc sự cố trong các quy trình. Các doanh nghiệp lớn hơn có thể được đảm bảo bởi số đầu hỗ trợ cho mỗi vai trò trong mô hình hoạt động, nhưng các nhóm bảo mật của doanh nghiệp nhỏ hơn phải tìm cách tự cung cấp cùng một phạm vi dịch vụ mà vẫn đạt được sự nhanh nhẹn trong các mô hình hoạt động.

3. Các giải pháp để tăng cường việc ra quyết định

Có một số công cụ có thể được coi là cần thiết liên quan đến quản lý tài sản, phát hiện xâm nhập, quản lý lỗ hổng, giám sát hành vi, thông tin bảo mật và quản lý sự kiện.

Khối lượng của dữ liệu thông tin cần bảo mật ngày càng tăng là một thách thức thường thấy đối với các doanh nghiệp đã đầu tư vào SOC dựa trên công nghệ cụ thể nhưng sau đó không thể quản lý hiệu quả công cụ hoặc phải điều tra khối lượng yêu cầu cảnh báo. Với ngân sách hạn chế, các khoản đầu tư SOC được hạch toán vào đầu tư công nghệ thường bị cản trở và tạo ra sự lãng phí chi phí do các vấn đề mới được xác định là không được tính vào chu kỳ ngân sách.

Các tổ chức phải xác định dữ liệu thông minh nào giữ quyền ưu tiên cao nhất để bảo vệ hoạt động của mình và triển khai các công cụ có thể tinh chỉnh cách thu nhận dữ liệu để tạo ra thông tin chi tiết hỗ trợ hành động tốt hơn. Điều này có thể được giải quyết bằng cách phân tích các loại thông tin bảo mật nào đang được thu thập và xem xét. Các câu hỏi cần suy nghĩ như: Liệu dữ liệu thông minh có cung cấp thông tin bảo mật chính xác về các mối đe dọa không? Dữ liệu thông minh có gây ra rủi ro nội bộ? Dữ liệu thông minh có thiên vị công nghệ của nhà cung cấp?

4. Hãy cảnh giác với tự động hóa

Tự động hóa cực kỳ có lợi nhưng nói thì dễ dàng hơn hơn là thực hiện.

Xét trên toàn cầu, tự động hóa là một phần quan trọng trong hành trình phát triển các hệ thống bảo mật, với các hoạt động chuyển sang mô hình bảo mật tự động thích ứng hơn. Các tổ chức đã hỗ trợ SOC trong nhiều năm hoặc sử dụng một mô hình thuê ngoài mạnh mẽ đang tìm cách giảm thời gian xử lý và chi phí xử lý. Nhưng đồng thời cũng tồn tại những vấn đề bất khả kháng về cách mà một tổ chức cố gắng phát triển hệ thống an ninh của họ song song với nó, tất cả đều đang nỗ lực khám phá việc giảm chi phí trong khi tăng tốc độ phát hiện sự cố để khắc phục.

Tự động hóa các chức năng thông minh hiện có để cải thiện tốc độ điều tra và tăng cường hiệu quả là một phần vô giá trong hành trình phát triển của SOC. Tuy nhiên, xem xét này phải được thiết lập ở nơi mà hoạt động tự động hóa có thể đang gây ra cản trở hơn là giúp đỡ. Có những ví dụ mà tự động hóa đã làm gián đoạn hoạt động bảo mật hoặc ảnh hưởng tiêu cực đến nhận thức về bảo mật vì các ứng dụng chính đã vô ý bị cản trở nhiệm vụ.

5. Bảo mật như một nền văn hóa của tổ chức

Trong khi ưu tiên hàng đầu của thông tin về các mối đe dọa là hỗ trợ việc xác định và bảo vệ chống lại các cuộc tấn công mạng sắp xảy ra, thì cái nhìn sâu sắc được cung cấp bởi SOC có thể được sử dụng để chuyển đổi kinh doanh rộng hơn - đặc biệt là khi nói đến văn hóa bảo mật của nó. SOC có thể xử lý một nguồn thông tin duy nhất và phân phối đầu ra, vì vậy nó có liên quan đến các bộ phận khác nhau trong doanh nghiệp. Điều này giúp bảo mật trở nên tích hợp chặt chẽ hơn với doanh nghiệp có giá trị để đóng góp cho các chủ đề như sáp nhập và mua lại đang chờ xử lý, đồng thời tăng cường kiến ​​thức bảo mật của nhân viên và phát triển ứng dụng và sản phẩm.

Phát triển SOC đẳng cấp thế giới

Các tổ chức được khuyến khích cân bằng chiến lược SOC của họ trước các ràng buộc về ngân sách và kỹ năng. Nhiều CISO có tầm nhìn mong muốn nhưng những hạn chế về kỹ thuật và tài chính sẵn có không ảnh hưởng đến khả năng thiết lập các thành công nhanh chóng. Ngoài ra, các tổ chức cũng mong tận dụng các bên thứ ba để hỗ trợ tư vấn, chuyển đổi và vận hành liên tục các hoạt động trong tầm nhìn. Đó là các tổ chức trong khu vực có thể duy trì các kiểm soát chi phí có thể dự đoán và khai thác các khoảng trống kỹ thuật cần thiết.

Một đối tác dịch vụ bảo mật được lựa chọn tốt sẽ đem lại hiệu quả về chi phí cho nhiều tổ chức có quy mô nhân viên nhỏ hơn và giúp giảm bớt những lo ngại về việc duy trì một đội ngũ nhân viên giàu kinh nghiệm trong một thị trường đòi hỏi khắt khe. Các doanh nghiệp lớn hơn với SOC được thành lập có thể nâng cao khả năng phát triển của mình bằng cách xác định các quy trình và công nghệ cốt lõi của hoạt động và tận dụng MSS để thiết lập mô hình hoạt động lai để có quy mô phù hợp và duy trì chi phí hiệu quả hơn.

Bằng cách đánh giá cách nhận được thông tin tình báo được phân tích và sử dụng bởi tổ chức, công ty có thể xác định cách thức nó có thể phân chia hoạt động và trách nhiệm giữa các nguồn lực nội bộ và bên ngoài. Được trang bị kiến thức này, doanh nghiệp sẽ có căn cứ để đầu tư tốt hơn vào mô hình tìm nguồn cung ứng SOC tốt nhất cho nhu cầu của họ, cho dù họ đang thành lập một trung tâm an ninh đầu tiên hoặc đưa các hoạt động hiện tại của họ lên cấp độ tiếp theo.