De afgelopen tien jaar is er een groeiende kloof ontstaan tussen analisten in de frontlinie en het senior management op het gebied van IT en cyberbeveiliging. Goed gedocumenteerde uitdagingen waarmee moderne analisten worden geconfronteerd, hebben betrekking op een groot aantal waarschuwingen, valse positieven, slechte zichtbaarheid van technische omgevingen en analisten die te veel tijd besteden aan handmatige taken.
De impact van alerte vermoeidheid en valse positieven
Analisten worden overspoeld met waarschuwingen. Het domino-effect hiervan is dat vermoeide analisten het risico lopen belangrijke details van incidenten te missen en vaak tijdrovende triagetaken handmatig uitvoeren om uiteindelijk een algemeen slotcommentaar te kopiëren en te plakken in een vals-positieve waarschuwing.
Het is waarschijnlijk dat er altijd valse positieven zullen zijn. En velen zouden beweren dat een vals-positief beter is dan een vals-negatief. Maar om proactief actie te kunnen ondernemen, moeten we dichter bij de kern van een incident komen. Dat vereist een duik in de manier waarop analisten het triage- en onderzoeksproces uitvoeren.
SHQ-responsplatform voor triage en onderzoek
Een typisch triageproces is vaak handmatig en maakt gebruik van analisten om individuele logzoekopdrachten uit te voeren naar contextuele informatie. Op basis van deze informatie beginnen ze een verhaal samen te stellen van wat er is gebeurd en geven ze een idee van de algehele risicoschaal.
Het SHQ Response Platform maakt gebruik van kunstmatige intelligentie (AI) voor logcorrelatie, haalt informatie uit verschillende bronnen en visualiseert deze op één incidentpagina. Hieruit worden kritische gegevens op een duidelijke tijdlijn gepresenteerd en worden artefacten automatisch op de portal bijgewerkt.
Door de belangrijkste gegevens op één plek te presenteren, kan een onderzoekende analist de ruis doorbreken en in één interface blijven. Ze hoeven niet langer meerdere logboekbronnen te doorlopen of handmatige SIEM-zoekopdrachten uit te voeren om de relevante logboeken te verzamelen om vervolgens het verhaal van een beveiligingsincident te begrijpen.
Dankzij de tijdlijnfunctie kan een analist ook de logica achter een waarschuwing of use case-trigger onderzoeken. Dit wordt weergegeven met de relevante Indicators of Compromise (IoC's), die automatisch kunnen worden geblokkeerd met behulp van back-end geïntegreerde tools.
Platform voor incidentrespons voor senior belanghebbenden
Overweldigde analisten die overspoeld worden door valse positieven zijn endemisch. Hoofd van de Global SOC-operaties bij SecurityHQ, Deodatta Wandhekar, verwoordde het het beste door uit te leggen dat:
'Zestig procent van de SOC-incidenten zijn herhaalde bevindingen die steeds weer de kop opsteken vanwege onderliggende, onverminderde risico's. De acteurs kunnen verschillend zijn; het risico is echter grotendeels hetzelfde. Dit veroorzaakt een aanzienlijke alarmmoeheid.'
Men moet overwegen hoe deze kloof kan worden overbrugd, met zowel een duidelijke focus op bedrijfsdoelstellingen als risicobereidheid, terwijl een niveau van technische details behouden blijft.
Risicoregister voor samenwerking en strategie
Dankzij het ingebouwde risicoregister van SecurityHQ kunnen analisten en bedrijfsleiders samenwerken om mitigatieactiviteiten te stimuleren, waarbij gebruik wordt gemaakt van het technische inzicht van operationeel personeel om strategische zakelijke beslissingen te onderbouwen.
Hierdoor kunnen analisten een rol spelen bij het aansturen van een cybersecurityprogramma. Door een niveau van technisch eigenaarschap te hebben, wordt een meer op samenwerking gerichte aanpak tussen operationele analisten en managementpersoneel bevorderd. Het stelt analisten die ooit overwerkt waren ook in staat de vruchten van hun werk duidelijk weerspiegeld te zien in bredere bedrijfspraktijken.
Volgende stappen
SecurityHQ draagt als adviespartner en als eigenaar van een dergelijk platform bij aan het ontwikkelen van een betere relatie tussen management en analisten door het aanbieden van een intuïtief en directievriendelijk risicoregister.
Vanaf hier creëert de focus op proactieve benaderingen en routekaarten in plaats van simpelweg 'brandbestrijding' en het afsluiten van incidenten binnen een Service Level Agreement (SLA) de mogelijkheid voor betekenisvolle verandering in een bedrijf.
Voor meer informatie kunt u hier contact opnemen met een expert. Als u een beveiligingsincident vermoedt, kunt u hier een incident melden.
Opmerking: dit artikel is vakkundig geschreven door Tim Chambers, Senior Cyber Security Manager bij SecurityHQ