Операции безопасности:должна ли автоматизация означать автоматизацию?

Реагирование на инциденты должно становиться все более и более автоматизированным, поскольку машинное обучение и ИИ обладают большим потенциалом для весь процесс более эффективен, но автоматизация должна осуществляться с осторожностью и до определенного момента, не отказываясь от человеческого фактора и позволяя директорам по информационной безопасности контролировать все события кибербезопасности, благодаря имеющимся у них незаменимым знаниям и опыту, а также благодаря очевидные недостатки этих технологий, которые еще предстоит устранить

В последние годы достижения в области машинного обучения и искусственного интеллекта становятся все более заметными в индустрии кибербезопасности. В настоящее время эти технологии используются в различных решениях, направленных на оптимизацию и повышение эффективности реагирования на инциденты.

Нет никаких сомнений в том, что автоматизация определенных задач в рамках процесса реагирования на инциденты, в частности тех, которые связаны с рутинной и механической работой, помогает повысить устойчивость организаций к кибератакам. Но некоторые специалисты по кибербезопасности склонны приравнивать автоматизацию некоторых аспектов процесса к автоматизации всего процесса, что на самом деле является двумя разными концепциями.

Важно отметить, что когда речь идет о реагировании на киберинциденты, автоматизация и автоматизация не должны рассматриваться как синонимы.

>См. также: Автоматизация безопасности:повышение производительности ИТ и отказоустойчивости сети

По сути, автоматизация в сочетании с решением для оркестровки помогает сократить время реакции, заменяя наиболее повторяющиеся и рутинные задачи, которые обычно занимают большую часть времени специалистов по безопасности, посвященных событиям кибербезопасности, и в то же время позволяя им сохранять контроль над весь процесс и сохранить возможность использовать человеческое суждение на этапах принятия решений.

Автоматический, с другой стороны, в основном означает передачу полного контроля над инцидентами машине, что в некоторых случаях может привести к неправильным результатам и даже нанести серьезный ущерб организации.

Как директора по информационной безопасности ориентируются в «новом автоматизированном мире против автоматического»

В этой недавно созданной среде, где идея автоматического реагирования набирает все большую популярность, один из основных вопросов, возникающих в сообществе профессионалов в области кибербезопасности, заключается в том, как руководители по информационной безопасности ориентируются в ней и стремятся ли они внедрить полную автоматизацию или они осведомлены о связанных с этим потенциальных рисках и полны решимости придерживаться согласованного подхода.

Можно сказать, что есть много директоров по информационной безопасности, которые склонны использовать автоматическое реагирование на инциденты, но прежде чем они это сделают, им нужно знать, что с таким шагом связано множество проблем и препятствий.

Например, существуют определенные риски соответствия, которые могут возникнуть в результате такого сценария. Соблюдение законов об уведомлении об утечке данных имеет первостепенное значение в сфере реагирования на инциденты, поскольку организации обязаны уведомлять своих клиентов о нарушениях и представлять отчеты об этих нарушениях в соответствующие органы в течение определенного периода времени.

>См. также: Мобильность требует, чтобы безопасность шла рука об руку с автоматизацией

Чтобы добиться такого соответствия, организации просто не могут полагаться на автоматическую систему реагирования на инциденты, поскольку она требует участия человека в процессе оценки масштабов, серьезности и последствий нарушений, которые должны быть завершены до того, как организация сможет решить, подпадает ли конкретное нарушение под действие законов об уведомлении.

Например, Общий регламент по защите данных (GDPR), который должен вступить в силу в мае 2018 года, является одним из тех строгих правил, которые требуют от определенных организаций, которые столкнулись с утечкой данных, в течение 72 часов после того, как стало известно об утечке, и уведомление лиц, затронутых этим нарушением, если будет установлено, что нарушение имело неблагоприятные последствия.

Чтобы определить эти факты и решить, следует ли сообщать о нарушении, организациям нужны специалисты по кибербезопасности, которые знают о существовании таких правил и знают их в деталях, а также реагируют в соответствии с этими правилами, что является чем-то вроде автоматической системы реагирования на инциденты. не умеет делать. Санкции за несоблюдение этих правил могут быть довольно суровыми, включая высокие штрафы, которые могут серьезно подорвать прибыль организации.

Сохранит ли кибербезопасность человеческий фактор в будущем?

Еще один важный вопрос, который поднимается в сообществе специалистов по кибербезопасности, заключается в том, существует ли по-прежнему потребность в человеческом факторе при реагировании на инциденты. Стремительный прогресс в области машинного обучения и искусственного интеллекта высветил этот вопрос, и сторонники автоматизации заявляют, что это логичный и неизбежный следующий шаг к кибербезопасности.

Хотя идея автоматического реагирования на инциденты может показаться привлекательной, более разумным и обоснованным мнением является то, что человеческий фактор будет продолжать играть важную роль в кибербезопасности по нескольким важным причинам. Прежде всего, как указано выше, во многих ключевых аспектах реагирования на инциденты, таких как обеспечение соблюдения нормативных требований, по-прежнему необходимо человеческое суждение.

>См. также: Автоматизация:сетевая необходимость

Кроме того, опытные и высококвалифицированные специалисты по кибербезопасности являются и должны оставаться неотъемлемым элементом процесса координации реагирования на инциденты. Оркестрация необходима для того, чтобы группы безопасности могли эффективно и результативно проводить весь процесс реагирования на инциденты, не теряя контроля над некоторыми важными его аспектами, такими как восстановление и устранение, в дополнение к подготовке и анализу после инцидента, которые требуют участия человека.

Кроме того, несомненно, ожидается, что директора по информационной безопасности останутся частью некоторых более масштабных мероприятий, связанных с реагированием на инциденты, таких как повышение осведомленности о кибербезопасности среди всех сотрудников в их организациях и повышение устойчивости их организаций к будущим кибератакам.

Короче говоря, реагирование на инциденты должно становиться все более и более автоматизированным, поскольку машинное обучение и ИИ обладают большим потенциалом для повышения эффективности всего процесса, но автоматизацию следует проводить с осторожностью и до определенного момента, не теряя времени. увеличить человеческий фактор и позволить директорам по информационной безопасности контролировать все события кибербезопасности благодаря имеющимся у них незаменимым знаниям и опыту, а также из-за очевидных недостатков этих технологий, которые еще предстоит устранить.

Источник Дарио Форте, основатель и генеральный директор DFLabs

Крупнейшая в Великобритании конференция для технологических лидеров, Tech Leaders Summit, возвращается 14 сентября. Более 40 руководителей высшего звена собрались, чтобы рассказать о проблемах и возможностях, связанных с самыми прорывными инновациями, стоящими сегодня перед предприятием. Закрепите свое место на этом престижном саммите, зарегистрировавшись здесь