Удовенко Олександр: Кібербезпека 2023. Як зміниться підхід до зберігання даних.

У 2023 році відбудуться три важливі зміни — зміниться саме поняття кібербезпеки, зміняться стандарти для даних безпеки, а також компанії будуть більш вимогливими до цієї теми.

Кібербезпека стане частиною сучасного стека даних
У 2023 році все більше фахівців з кібербезпеки почнуть використовувати сучасні хмарні пули даних, що дають узагальнене уявлення про всі дані з безпеки поряд з бізнес- та ІТ-даними, що значно підвищить загальний рівень безпеки організації. Компанії Gartner і Forrester вже назвали це тенденцією, що розвивається, і я очікую, що наступного року вона стане ще актуальнішою.

Пули даних з безпеки більше не будуть “проєктами-саморобками”, заснованими на Hadoop (набір бібліотек для розподілу операцій та функцій у хмарі, – Фокус ) та кустарних інструментах. Останні оновлення провідних продуктів безпеки дозволяють працювати безпосередньо поверх існуючої хмарної платформи даних підприємства. Таким чином, командам з кібербезпеки простіше використовувати ту ж платформу даних, що й інші співробітники організації. Компактність сучасного стека, ядром якого є хмарна платформа даних, сприятиме економії, а більш досконалі можливості аналізу даних дадуть точніші відомості службам безпеки.

OCSF стане нейтральним стандартом для даних безпеки
У 2023 році ми побачимо зростання підтримки Open Cybersecurity Schema Framework (OCSF) – проєкту з відкритим вихідним кодом, призначеного для створення єдиної та незалежної від постачальників моделі даних для безпеки. Майже два десятки компаній, що займаються безпекою та технологіями, вже приєдналися до проєкту, і наступного року ми побачимо, як ще більше провідних постачальників просуватимуть його як галузевий стандарт безпеки.

На BlackHat 2022 кілька провідних технологічних компаній зібралися разом, щоб анонсувати новий стандарт відкритих даних для обміну інформацією про кібербезпеку під назвою Open Cybersecurity Schema Framework (OCSF). По суті, OCSF надає клієнтам загальний спосіб обміну даними з різних інструментів безпеки, і це досить велика справа. Проект OCSF було ініційовано партнерством між Splunk і AWS, яке базувалося на схемі ICD, розробленій у Symantec, яка зараз є частиною Broadcom Software.

До цього часу SOC підприємствам доводилося докладати великих зусиль, намагаючись змусити речі працювати разом, а це був дорогоцінний час, який краще витратити на пошуки загроз. Подумайте про це: було виявлено, що середній SOC використовує близько 45 різних інструментів безпеки. Це призводить до постійного головного болю управління, розглядаючи те, як інструменти зберігають свою телеметрію різними способами. 

Коли SOC тільки почали виявляти свої права, усі великі постачальники програмного забезпечення безпеки рекламували свої платформи як рішення. Це рішення «одного постачальника» не спрацювало. Підприємства продовжують покладатися на багатьох постачальників, і результатом стали несумісні набори даних телеметрії безпеки. Зрештою, великим підприємствам довелося самостійно інвестувати в інтеграцію всіх своїх інструментів безпеки, щоб мати будь-які можливості запиту даних. У більшості великих компаній я бачу команди SOC, у яких працює ціла команда інженерів, які нічого не роблять, крім конвертації даних і оновлення програм для обробки нових типів даних.  Проєкт OCSF було ініційовано партнерством між Splunk і AWS, яке базувалося на схемі ICD, розробленій у Symantec, яка зараз є частиною Broadcom Software.

Це не лише тягар, пов’язаний із великою роботою над інтеграцією. Точність — ще одна велика проблема. Оскільки продукти зберігають свої дані багатьма різними способами, під час перетворення існує більша ймовірність помилки та ризику для бізнесу.  

Ця робота з інтеграції та перетворення стає виснажливою — швидкою — особливо, коли підприємства додають або оновлюють свою інфраструктуру безпеки. Не дивно, що в останні роки SOCs стали більш відвертими та вимогливішими, кажучи постачальникам, що вони хочуть продукти, які легше інтегрувати, а не існувати як окремі замки.

Open Cybersecurity Schema Framework (OCSF) – проєкт, призначений для створення єдиної та незалежної від постачальників моделі даних для інформації про безпеку
OCSF вирішує важливі проблеми для відділів безпеки – наприклад, управління все більш складними середовищами, від хмар до домашніх офісів, а також безлічі інструментів безпеки. Збір та обробка даних із цих джерел потребують часу та грошей, уповільнюючи швидкість реагування на погрози. Відкритий стандарт OCSF для виробників та споживачів даних поряд з їхньою спрощеною таксономією прискорюють збір та аналіз даних для команд безпеки, що, у свою чергу, стає вигідним, оскільки наступного року все більше компаній почнуть підтримувати цю технологію.

Директори вимагатимуть своєчасних та дієвих показників безпеки
З появою “хмарних” пулів даних безпеки стане набагато простіше генерувати звіти про найважливіші показники безпеки практично в режимі реального часу. Ми вже спостерігаємо підвищений інтерес до таких даних на рівні керівників, а в 2023 році члени ради директорів вимагатимуть ще більшої прозорості кількісних даних про статус безпеки компанії, її слабкі місця та темпи поліпшення. В інших відділах це давно стало стандартом, але кібербезпека поки що запізнюється в плані прозорості.

Open Cybersecurity Schema Framework, Відкритий стандарт OCSF
З появою “хмарних” пулів даних безпеки стане набагато простіше генерувати звіти про найважливіші показники безпеки практично в режимі реального часу
Квартальних звітів та PDF-файлів вже недостатньо, враховуючи, що контроль за діяльністю компаній, пов’язаних із безпекою, постійно посилюється. Керівникам потрібні “панелі приладів”, які працюють практично в реальному часі і дозволяють деталізувати та оцінювати стан безпеки організації – наприклад, час реагування на інциденти, затримку патчів, повноту інвентаризації активів, управління ризиками третіх сторін та звільнення працівників.
Крім того, багато керівників входять до складу відразу кількох рад директорів, а це означає, що така практика швидко пошириться організаціями. Очікується, що обмін даними між компаніями буде використовуватися для порівняння з колегами та інформування керівників про те, як їх прогрес співвідноситься з іншими компаніями. Необхідно стежити за співпрацею між службами безпеки, щоб налагодити своєчасний обмін даними в керованому режимі. Це дозволить обмінюватися ключовими показниками всередині відділів інформаційної безпеки, не допускаючи при цьому витоку конфіденційної інформації.

Удовенко Олександр