Введение

Мы уже разобрали, зачем нужна CSMA, какие проблемы есть у «зоопарка» средств защиты, и прошлись по ключевым слоям: SAIL (интеллект аналитики), управление инфраструктурой и Identity Fabric. Логичный следующий шаг - навести порядок там, где у большинства организаций сегодня хаос: в политиках, конфигурациях и операционном управлении.

Эта статья про PPPM - централизованный уровень Policy / Posture / Playbook Management. Его задача - стать единым источником истины для политик и стандартов конфигурации, согласовать «бизнес-ограждения» для автоматизации, и соединить SAIL с точечными продуктами через открытые API и policy-as-code (OPA, Cedar, Zanzibar, XACML). Здесь же - привязка к контрольным наборам NIST/CIS/ISO, устранение дрейфа настроек и подготовка к безопасной частичной авто-оркестрации.

Вторая часть материала - про операционные панели. Это не «ещё один дашборд SIEM», а слой, где в реальном времени визуализируется оценка риска на уровне сущностей, сходятся сигналы от SAIL/Identity/Infrastructure, и запускаются плейбуки до того, как инцидент станет ущербом. Мы покажем, как единая панель и граф взаимодействий снимают шум, ускоряют расследования и дают общий язык для SOC, ИТ и бизнеса.

Кому интересно - присоединяйтесь в Telegram-канал https://t.me/zero_trust_SDP.

А теперь - полетели.

Уровень централизованного управления политикой, позицией и регламентом (PPPM)

Одной из самых серьезных проблем, с которой сталкиваются сегодня организации, занимающиеся обеспечением безопасности, являются многочисленные и сложные политики, настройки параметров и постоянная проверка состояния требований безопасности и передовой практики. Уровень управления политиками, позициями и playbook является ключевым для создания централизованного хранилища для разработки политик и стандартов конфигурации позиций (см. рис.).

По мере того, как организации, занимающиеся обеспечением безопасности, внедряют политики и решения, необходимые для обеспечения своей защиты, этот уровень продолжает управлять и автоматизировать проблемы смещения позиций, вести централизованные схемы действий и устанавливать логические границы бизнеса. Это гарантирует, что во время защиты "SAIL" не выйдет за пределы бизнес-ограждений.
Еще одной ключевой особенностью этого уровня является его способность позволять команде безопасности управлять параметрами конфигурации для каждого точечного продукта из централизованного расположения. Одному поставщику будет проще создать единый способ управления настройками, но при этом возникнет необходимость в согласовании политик и сопоставлении параметров между их различными продуктами. Однако организациям, внедряющим множество различных инструментов, требуется внедрение общей политики для всех инструментов (а не только для одного поставщика). Именно в этом со временем поможет соблюдение таких стандартов, как Open Policy Agent (OPA), и возможность перевода между связанными политиками, такими как Cedar, Zanzibar и XACML.
По мере развития требований ключевым моментом может стать подключение продуктов point к инфраструктуре безопасности организации с помощью API и стандартов. Например, команда безопасности может захотеть применить к своей архитектуре безопасности систему кибербезопасности и отраслевые стандарты. Это обеспечит следующие преимущества:

• Позволит специалистам по безопасности выбрать стандартную структуру политики.

• Определит политики и настройки, необходимые для точечных продуктов.

• Возможность разработки рабочих playbooks.

• Организация конфигурации и настройки точечных продуктов.

• Интеллектуальный уровень будет проинформирован о необходимых изменениях конфигурации и состояния устройств.

• В случае изменений endpoint-продукты будут проверять устройства на соответствие требованиям.

Такая координация будет иметь ключевое значение для постоянной проверки политик и postures. Этот уровень также может использоваться для сравнения корпоративных стандартов с отраслевыми стандартами, что будет полезно для аудита и отчетности заинтересованных сторон - эти сравнения будут отображаться на уровне панели управления операциями.
По мере того как SAIL использует все больше возможностей искусственного интеллекта, в конечном счете, некоторые политики (или группы политик) окажутся достаточно точными и будут иметь достаточно низкий риск, чтобы организация приняла решение разрешить автоматическое выполнение рекомендаций по политике. Это будет происходить в зависимости от конкретного случая использования. Это уже обычная практика для адаптивного доступа с поддержкой ML. По мере того, как автоматизируется все больше процессов, ограничения политики становятся все более важными: это границы, установленные бизнесом, которые автоматизация не может преодолеть.

Информационная панель управления операциями

По мере продвижения по уровням, одним из ключевых компонентов, который уже много лет обещают организациям, занимающимся обеспечением безопасности, является возможность иметь единое представление об архитектуре безопасности, инцидентах и рисках. Из-за нехватки высококвалифицированных специалистов в области безопасности сегодня трудно найти специалистов по множеству инструментов и взаимодействию с ними.
Еще одним преимуществом CSMA является возможность для службы безопасности иметь единую консолидированную информационную панель, которая может использовать данные из нескольких продуктов analytics point, как от одного поставщика, так и от нескольких разных. Такая панель мониторинга была бы более всеобъемлющей, чем традиционная панель мониторинга SIEM, хотя она могла бы быть предоставлена поставщиком, предлагающим продукт SIEM.
Сводная информационная панель прогнозирования в режиме реального времени, основанная на динамической оценке рисков на основе сущностей, станет отправной точкой для ИТ-служб, служб безопасности и SOC для более точной оценки существующих рисков безопасности (или обнаружения атак на гораздо более ранней стадии [обнаружение со сдвигом влево]). Этот уровень еще не полностью внедрен, чтобы заменить все консоли каждого продукта, но уже сейчас заметны инвестиции зарубежных компаний в более консолидированные и интеллектуальные информационные панели, которые станут лучшей отправной точкой для исследований. Этот уровень обладает функциями, сходными с современными инструментами SIEM и XDR. Так же я замечал некоторую интеграцию информационных панелей и улучшенную аналитику информационных панелей для различных вариантов использования на рынке, но по-прежнему требуется несколько информационных окон для разных продуктов.
Единая панель мониторинга и динамическая визуализация сетки оценки рисков на основе сущностей - это ключевые функции, которые еще предстоит полностью реализовать в современных системах безопасности и идентификации. Многие современные продукты класса log aggregation, такие как XDR, основаны на уже произошедших инцидентах или на журналах, которые должны быть отправлены постфактум. Этот уровень панели мониторинга операций должен помогать визуализировать, предупреждать и сообщать о возможных будущих тенденциях или угрозах до того, как будет нанесен ущерб.
Возможно, каждый из вас захочет углубиться в изучение точечных продуктов, если атаки станут очень сложными. Если это так, на уровне панели управления операциями должно быть несколько представлений для разных ролей в группе реагирования на инциденты безопасности с настраиваемыми виджетами и отчетами. Ключевым моментом здесь является централизованная взаимосвязь всех уровней. Мы уже видим примеры того, как некоторые поставщики инвестируют в консолидацию панели мониторинга, например, Microsoft 365 Defender Threat Explorer, IBM Cloud Pak.
Расширенные сервисы PingOne от Identity. CrowdStrike, Silverfort и SGNL, предлагают информационные панели для различных сценариев использования. При выборе решений для точек безопасности внимательно изучайте поставщиков на предмет наличия открытых API для интеграции в более централизованный уровень информационной панели для улучшения компонуемости.

Самой важной особенностью этого уровня является изменение парадигмы представления
SOC. Во время крупномасштабной атаки с 10 000 высокоприоритетными предупреждениями панель мониторинга SIEM на основе таблиц функционально сложна в использовании. Обычная тактика хакеров - наводнять информационные панели, чтобы скрыть свои следы. К тому времени, как вы поймете, что происходит, они уже одержат победу.
Операционный уровень CSMA рекомендует изменить основной вид на визуализацию графика в SAIL, добавив аудио и другие новые способы просмотра атаки в реальном времени по мере ее формирования (см. рисунок ниже). Как только от продуктов безопасности поступают поведенческие сигналы, должен определяться риск, связанный с объектами и группами объектов.

Затем изменения в поведении сопоставляются с известными цепочками атак и шаблонами атак, чтобы определить, чего добиваются хакеры. Затем ИИ поможет рекомендовать автоматизацию для запуска, чтобы заблокировать следующие шаги. Это позволяет прогнозировать и предотвращать выполнение атакой своих целей.
Дополнительные визуальные и звуковые возможности позволят геймифицировать SecOps и интегрировать расширенные возможности искусственного интеллекта в операции. Они также помогут устранить шум и повысить эффективность вашей киберзащиты. Теперь это можно сделать на экранах или перейти на новый уровень, интегрируя дополненную реальность для поддержки навигации по трехмерному графу объектов внутри SAIL.

Соединяем все cлои вместе

Теперь мы определили все слои:

1. Security analytics intelligence layer (SAIL)

2. Infrastructure management layer

3. Identity fabric layer

4. Centralized policy, posture and playbook management layer (PPPM)

5. Operations dashboard layer

Давайте объединим их все вместе, чтобы построить нашу будущую сетчатую архитектуру кибербезопасности (см. рис. ниже). Ключевым элементом CSMA является сокращение разрозненности, поэтому между уровнями существует множество соединений. Направления областей на рис. ниже указывают направление потоков данных:

• Уровень аналитики security analytics является основным и должен быть в центре внимания в первую очередь, поскольку он принимает входные данные от уровней управления инфраструктурой и identity fabric. Он также предоставляет выходные данные для уровня панели мониторинга операций.

• Уровень управления инфраструктурой подключается к цифровым активам и передает сигналы на уровни identity fabric и security analytics intelligence.

• Уровень identity fabric, в дополнение к вышеперечисленному, предоставляет информацию на уровень панели управления операциями.

• Уровень панели управления операциями предоставляет входные данные для уровня централизованного управления политиками, Posture и playbook.

• Уровень централизованного управления политиками, положением и playbook рекомендует внести изменения в уровень identity fabric для блокировки несанкционированного доступа и внесения изменений в конфигурацию для предотвращения повторения. Он также отправляет запросы на изменение на уровень управления инфраструктурой и в другие компоненты безопасности, чтобы завершить цикл.

По логике вещей, все функции на пяти уровнях должны выполняться, даже если многие из них выполняются вручную или изолированно. Проблема заключается в уровне зрелости интеграции, аналитики и автоматизации. Во многих организациях некоторые этапы подпроцесса по-прежнему выполняются вручную. Например, несколько средств обеспечения безопасности и идентификации генерируют оповещения, но выходные данные обрабатываются отдельно, и нет общей расстановки приоритетов или автоматизации реагирования. Или существующая система SIEM генерирует оповещения, но из-за отсутствия достаточного количества контекстных данных она пропускает случаи бокового перемещения или генерирует множество ложных срабатываний.
Несмотря на то, что многие аспекты CSMA могут быть внедрены и поддерживаются поставщиками, для того чтобы CSMA работала по-настоящему открыто и совместимо между инструментами разных поставщиков, все еще требуется дальнейшая эволюция продуктов и стандартов. Эта архитектура позволит техническим специалистам планировать и совершенствовать ее, а также выявлять пробелы, которые еще предстоит заполнить поставщикам систем безопасности и идентификации.

Сильные стороны CSMA

• Улучшенная основа для соблюдения правил кибербезопасности за счет усовершенствованного управления рисками, позволяющего снизить затраты за счет централизованного, основанного на оценке рисков представления активов, элементов управления, зависимостей и конфигураций средств обеспечения безопасности.

• Практичная платформа, не зависящая от поставщика, позволяет планировать политику нулевого доверия и внедрять новые решения.

• Централизованная оценка рисков с помощью SAIL снижает вероятность расхождения приоритетов при оценке того, какие киберпроблемы следует решать в первую очередь. Это позволяет получить более динамичное и целостное представление о потенциальном воздействии обнаруженных проблем, прежде чем принимать решение о том, какие из них следует решать в первую очередь.

• Более высокое качество данных о безопасности в различных областях, обеспечивает более качественные показатели программ безопасности и отчетность на всех уровнях организации.

• Централизованное хранилище данных об угрозах для сбора телеметрии и аналитических данных об угрозах, позволяющих защитникам сосредоточиться на наиболее вероятных векторах атак.

• Более быстрое реагирование на инциденты сокращает время, в течение которого может быть нанесен ущерб, и повышает вероятность того, что основные причины, такие как ошибки конфигурации, могут быть устранены до того, как они будут использованы снова.

• Поиск угроз с поддержкой искусственного интеллекта позволяет организации совершенствовать свою защиту в ответ на возникающие угрозы.

• Централизованные сборники данных и автоматизация способствуют постоянному совершенствованию передовых методов реагирования.

• Более полное представление о том, как организация взаимодействует с базами данных, позволяет лучше расставить приоритеты в области обеспечения безопасности.

• Лучшая интеграция инструментов от нескольких поставщиков (более быстрая интеграция и процесс обучения) обеспечивает более целостную оценку рисков.

• Интеграция сторонних разработчиков в общий стек безопасности позволяет лучше обмениваться сигналами о рисках и проводить более точную оценку рисков.

• Удаление изолированных ресурсов повышает удобство использования для администраторов и конечных пользователей.

Слабые стороны CSMA

• Требуется дополнительная эволюция доступных инструментов, прежде чем подход сможет быть реализован в полной мере

• Проблема привязки к поставщику по-прежнему остается актуальной, если крупные поставщики используют собственный подход CSMA для блокирования, а не для облегчения межинструментальной интеграции

• Для интеграции продуктов нескольких поставщиков требуются инженерные усилия.

• Требуется комплексное управление данными о безопасности, что может привести к проблемам с качеством данных.

• Потребуется дополнительное время для дальнейшего совершенствования передовых методов работы с security data fabric.

• Многим поставщикам по-прежнему необходимо будет адаптироваться к новым стандартам взаимодействия и нормализации сигналов.

• Ограничения на полностью автоматизированное реагирование из-за устойчивости организации к рискам простоя в работе за пределами группы кибербезопасности

• Требуются эволюционные изменения в способах выбора и развертывания аналитических инструментов IAM

• Централизация может привести к появлению более ценных целей для злоумышленников, таких как централизованные хранилища данных или единые модели искусственного интеллекта для обеспечения безопасности.

• Зависимость от появления и внедрения дополнительных открытых стандартов, таких как определения политик безопасности и правил бизнес-логики

• Если вы создаете продукт самостоятельно, вам нужны специалисты по обработке данных, программисты, которые понимают IaC/PaC, разработчики API, специалисты по искусственному интеллекту, специалисты по IAM и инженеры по безопасности. Вам также нужно будет вложить средства во множество приложений, чтобы объединить их и заставить работать.

Вместо заключения

Внедрение подхода CSMA решает проблемы прозрачности и реагирования, связанные с децентрализованными решениями в области кибербезопасности и идентификации. В рамках продолжающегося совершенствования планирования и операций в области обеспечения безопасности и идентификации организации должны:
1. Провести инвентаризацию существующих средств обеспечения безопасности и идентификации и составить карту потоков данных.
2. Использовать существующие и появляющиеся стандарты для интеграции инструментов и категоризации, если это поддерживается
Инструменты обеспечения безопасности менее эффективны, когда работают изолированно. Более глубокая интеграция между инструментами должна основываться на стандартах везде, где они доступны. К ним относятся OCSF, MITRE ATT&CK, OAuth 2.0, OpenID Connect (OIDC), SCIM, OPA и CAEP.
3. В полной мере использовать доступные средства обеспечения безопасности и идентификации для создания вашего CSMA
Например, в рамках инициативы ZTA определите приоритетность включения единого входа для большего числа приложений, используемых каждой группой пользователей. Интегрируйте инструмент облачной инфраструктуры (CIEM) с инструментом управления идентификационными данными и администрирования (IGA), чтобы обеспечить лучшую общую видимость того, кто к чему имеет доступ.
4. После того как вы рационализируете свои инструменты, соответствующие принципам CSMA, обратите внимание на отклонения - особенно на те, которые не интегрируются или являются незрелыми точечными продуктами. CSMA предполагает создание большего количества связей между различными инструментами обеспечения безопасности и идентификации. Если в организации отсутствует базовый элемент, его необходимо добавить, прежде чем подключать к другим инструментам. Если в организации слишком много версий какой-либо категории инструментов, может оказаться более эффективным объединить их перед добавлением интеграций.
5. Оценить свои текущие инструменты SIEM, UEBA, SOAR и XDR для более продвинутого набора функций динамической оценки рисков на основе сущностей. Убедитесь, что они приводят свой продукт в соответствие со стратегией CSMA и создают основные возможности SAIL или подключения к ним. Определите приоритетность инструментов на этом уровне, которые имеют широкий набор возможностей интеграции с вашими ключевыми продуктами для обеспечения безопасности и идентификации, указанными на первом шаге.

6. Выберать инструмент централизованной панели управления операциями
По мере распространения средств обеспечения безопасности организациям стало важно выбирать инструменты, которые могут обмениваться данными с централизованной операционной панелью. В идеале это должен быть инструмент, который не только поддерживает реагирование на инциденты, но и является более предсказуемым и интерпретирует закономерности и сигналы, поступающие от SAIL. В долгосрочной перспективе ищите поставщиков, которые хотят визуализировать систему оценки рисков в режиме реального времени для большего числа пользователей.

7. Перейти к централизованному уровню управления политиками, posture и схемами действий. Выбирайте инструменты, которые объединят ваши распределенные политики, централизованное управление и рекомендации по управлению и соблюдению. Многие поставщики начинают создавать инструменты, которые приводят все эти компоненты в соответствие со стандартами безопасности, такими как NIST, CIS и ISO.

8.Распространяйте CSMA на все типы ваших цифровых активов.