Dank E-Commerce, IoT-Geräten, sozialen Medien und mehr erfassen Unternehmen größere Datenmengen als je zuvor. Aber oft ist dies auf der Grundlage, dass sie alles sammeln und überlegen, was sie später damit machen. Ein Ansatz, der sie dem Risiko aussetzt, dass Daten missbraucht werden können.
Wir haben mit der Open Detection and Response-Firma Corelight’s gesprochen CISO Bernard Brantley, der glaubt, dass Unternehmen eine vollständige Datenstrategie implementieren können, die es ihnen ermöglicht, rückwärts vom Risiko zu Rohprotokollen zu arbeiten und eine Lieferkette zu schaffen, die Informationen generiert, die für Aktivitäten zur Risikominderung von entscheidender Bedeutung sind.
BN: Wie müssen Unternehmen ihre Datenstrategie neu bewerten?
BB: Es gibt fünf entscheidende Schritte für die Entwicklung einer vollständigen Datenstrategie, die es einer Organisation ermöglicht, Informationen zu generieren, die für Aktivitäten zur Risikominderung entscheidend sind:
Sammeln Sie relevante Daten – Nutzen Sie Risikobewertungsaktivitäten wie Bedrohungsmodellierung, um zu bestimmen, welche Protokolltypen und-attribute y unser team am meisten wert. Versuchen Sie, mit einem Anwendungsfall zu beginnen, damit Sie die Informationen aus bereits gesammelten Protokollen maximieren können, bevor Sie Protokolle mit geringerem Wert integrieren. Erledigen Sie die Arbeit im Voraus – Vergessen Sie die ineffizienten Ad-hoc-Abfragen und kategorisieren und klassifizieren Sie stattdessen Aktivitäten in Protokollen. Durch die Unterstützung analytischer Arbeitsabläufe können Verteidiger Dashboard-ähnliche Ansichten relevanter Aktivitäten erstellen, kurz-und langfristige Trends erkennen und blinde Flecken in der Abdeckung identifizieren. Stakeholdern zuhören – Wenn das Unternehmen Sicherheitsergebnisse nicht in Maßnahmen umsetzen kann, hat es keinen Wert. Die Einbeziehung von Geschäftslogik in die Art und Weise, wie Sicherheitsteams Ergebnisse erstellen, kann durch die von ihnen gesammelten Protokolle einen zusätzlichen analytischen Wert bieten. Konsequente Neubewertung – Die Fähigkeit zu lernen, zu verlernen und neu zu lernen ist unerlässlich, um zusätzlichen Kontext durch die Erfassung zusätzlicher Protokolltypen oder die Zusammenführung zuvor unterschiedlicher Daten zu sammeln. Unbeschränkte Hinzufügungen – Das Hinzufügen zusätzlicher Protokolltypen, Transformationsprozesse oder Generieren neuer Ausgaben sollte unbegrenzt sein. Ihre Datenstrategie und Supply-Chain-Architektur müssen eine reibungslose und zeitnahe Implementierung ermöglichen, damit Teams neue Anwendungsfälle entwickeln können.
BN: Reicht eine SIEM-Plattform (Security Information and Event Management) aus?
BB: Auf dem Weg zu Resilienz und datengesteuerter Sicherheit benötigen Threat-Hunting-Teams Daten Bereitstellung von Transparenz für alles, was im Netzwerk passiert, nicht nur für Ereignisdaten wie Warnungen. Mehr Daten bedeuten mehr Volumen und bringen das SIEM an seine Grenzen. Aus diesem Grund verwenden immer mehr Verteidiger tatsächlich zwei SIEM-Plattformen mit dem Ziel, eine schnellere Suche und einen Weg zu benutzerdefinierten Analysen zu vernünftigen Kosten zu ermöglichen.
Trotzdem ist es nicht unbedingt ideal, zwei zu haben. Große Institutionen können sich das leisten und haben die Macht der Mitarbeiter, aber für 95 Prozent der anderen Organisationen, die kein dediziertes Team haben oder nicht in der Lage sind, einen Security Data Lake bereitzustellen und zu warten, ist es immer noch unerschwinglich.
Organisationen implementieren häufig eine Datenerfassungsstrategie aus Angst, etwas zu verpassen. Ich bezweifle die Annahme, dass wir alles sammeln und seine Verwendung am Ort des Vorfalls bestimmen müssen.
BN: Wie kann eine ausgefeilte Datenstrategie die Risikobewertungsaktivitäten einer Organisation beeinflussen?
BB: Wenn Teams Parameter dafür festlegen, wonach gesucht und was für laufende und zukünftige Analysen gespeichert werden soll, und sicherstellen, dass es sich um einen iterativen Prozess handelt, müssen sie nicht mehr den Ozean zum Kochen bringen, um die gewünschten Ergebnisse zu erzielen. Der langfristige Nutzen hier ist die Risikobewertung, die dann zeiteffizient, in hohem Maße kooperativ und kommunikativ durchgeführt werden kann, sodass Teams die Wahrheit schneller verstehen und herausfinden können.
BN: Was ist den Wert von Beweisen in einer vollständigen Datenstrategie?
BB: Sicherheitsteams brauchen Fakten, um Unschuld oder Schuld zu beweisen. Sie legen Wert auf Beweise, aber das bedeutet nicht, dass sie eine evidenzbasierte Strategie anwenden. Es ist zwingend erforderlich, dass wir unsere Beweise als Rohstoffe in der Intelligence-Lieferkette betrachten und nach Möglichkeiten suchen, den maximalen Wert zu extrahieren. Dies kann Teams durch proaktive strukturelle Veränderungen Zeit verschaffen und dazu beitragen, unnötige Auswirkungen von Gegnern zu vermeiden.
Verteidiger können Beweise proaktiv nutzen, um strukturelle Risiken innerhalb ihrer Kontrollzone zu identifizieren und zu schützen. Beweise können auch reaktiv verwendet werden, indem Aktivitäten zur Erkennung (Umgestaltung), Reaktion und Wiederherstellung unterstützt werden. Es ist unmöglich, ein Sicherheitsereignis zu vermeiden, aber auf welcher Seite wir die meisten unserer Zyklen verbringen, hängt von unserer allgemeinen Datenstrategie ab und davon, wie wir unsere Beweise pflegen.
BN: Was ist mit Blick auf die Zukunft? die zwei größten Risiken für die Sicherheitsteams von Unternehmen im neuen Jahr, wenn sie ihre Datenstrategie nicht optimieren?
BB: Es gibt wirklich ein einzelnes Risiko mit zwei unterschiedlichen Auswirkungen. Ohne die Optimierung ihrer Datenstrategie werden Verteidiger nicht in der Lage sein, Beziehungen innerhalb der Daten dauerhaft zu entdecken und auszunutzen. Infolgedessen bleiben Möglichkeiten zur Zusammenarbeit innerhalb oder zwischen Teams zur Weiterentwicklung eines integrativen Sicherheitsprogramms ein blinder Fleck. Die Daten, die wir heute besitzen, enthalten mehr als Kontext für Daten auf Ereignisebene. Jede Datenquelle repräsentiert die Summe der Operationen für ein bestimmtes Team in Richtung eines Ergebnisses. Die kontextuellen Verbindungen zwischen Datenquellen stellen bekannte und unbekannte Interaktionen zwischen diesen Teams dar; Interaktionspunkte, die zu effizienteren und vollständigeren Abläufen führen können.
Es wird auch schwierig sein, die Automatisierung rund um Erkennungs-und Vorfallsreaktions-Workflows zu nutzen, die die Erklärbarkeit unterstützen; die Geschichten, die wir über unsere Daten erzählen können. Starke Erzählungen sind das wichtigste Werkzeug, um domänenspezifische Informationen (Sicherheit, Geschäft usw.) in institutionelles Wissen umzuwandeln. Ohne sie werden wir weiterhin Gelegenheiten verpassen, kulturell wirksame Veränderungen zu bewirken, und Sicherheitsteams werden Schwierigkeiten haben, ihren wahren Wert über die Sicherheitsorganisation hinaus zu sozialisieren.
Bildnachweis: ml12nan/depositphotos.com