Въпреки че изкуственият интелект е на път да промени драстично корпоративните оперативни центрове за сигурност (SOC), поне засега трите основни технологии, с които трябва да се запознаят новите служители, остават SIEM, разширеното откриване и реагиране на базата на хост и поправянето на уязвимости.
Но в проучване сред около 400 специалисти по киберсигурност, проведено от института SANS по поръчка на Torq, високо оценени бяха и три други умения. Те включват познаване на въпросите на сигурността в облака, опит в PowerShell и способност за автоматизиране на повтарящи се задачи и функции за управление на системите.
Освен трите основни умения, „основните твърди умения, които понастоящем са от съществено значение за SOC анализаторите, включват: обработка на инциденти и реагиране, търсене на заплахи, облачна сигурност, цифрова криминалистика, Python, PowerShell и bash скриптове“, казва Далас Йънг, старши технически продуктов мениджър в Torq.
„Що се отнася до меките умения, те включват критично мислене и творческо, информирано решаване на проблеми, внимание към детайлите в бързо променяща се среда и комуникационни умения както на техническо, така и на междуличностно ниво“, казва той.
В проучването на SANS са анкетирани респонденти от малки, средни и големи компании в САЩ и други страни относно техните най-големи предизвикателства в областта на SOC. Отговорите показват, че много организации продължават да се борят с проблеми, които ги тормозят от години. Сред тях са липсата на автоматизация и оркестрация на ключови функции на SOC, високи изисквания към персонала, недостиг на квалифициран персонал и липса на видимост. Те съобщават и за широко разпространен манталитет на „силоз“ сред екипите по сигурността, реагирането на инциденти и операциите.
Все пак положителното е, че проучването показа изненадващ ръст в задържането на персонала в много SOC. Около 30 % от анкетираните – мнозинство – са определили средния срок на работа на SOC в тяхната организация като между три и пет години, в сравнение с периода от една до три години, който анкетираните са посочили в предишни проучвания на SANS.
Йънг обяснява тази тенденция с нарастващата автоматизация на триажа и анализа на ниво 1 в повече организации. Това позволява на анализаторите от SOC да се съсредоточат върху по-стратегически и интелектуално стимулиращи дейности, като например търсене на заплахи и усъвършенствано реагиране на инциденти. Той казва, че това е помогнало и за облекчаване на проблема с бърн аута на анализаторите.
Други фактори, които изглежда са допринесли за повишените нива на задържане, включват по-добра работна среда с дистанционно и гъвкаво работно време и обучение по лидерство за висококвалифицирани служители. „Освен това за анализаторите по сигурността, които искат да запазят техническата си насоченост, организациите плащат за повече възможности за обучение и сертифициране в области от интерес, като например тестване за проникване, обратен инженеринг на зловреден софтуер и тематични области на сигурността в облака като пример“, казва Йънг.
Джейк Уилямс, преподавател в IANS Research и вицепрезидент по научноизследователска и развойна дейност в Hunter Strategy, казва, че настоящите условия на пазара на труда са позволили на много организации да си осигурят по-опитни SOC анализатори със същия бюджет, отколкото биха могли преди няколко години. „Това е добре за организациите в краткосрочен план, но те трябва да правят планове още сега за времето, когато пазарът на труда се възстанови“, казва Уилямс. „Много организации прикриват липсата на процес с уменията, които тези по-стари анализатори носят.“
Подобно на Йънг, Уилямс казва, че най-търсените умения на SOC – извън очевидните основни умения за SIEM и XDR – са познаването на облачни платформи като AWS и Azure, както и разбирането на Active Directory и Entra ID. „Виждам, че се очаква много повече базови познания за облака, особено за старшите SOC анализатори“, отбелязва Уилямс. Като се има предвид широкото използване на M365 в предприятията, има очакване много старши SOC анализатори да знаят PowerShell, за да правят запитвания към GraphAPI, казва той: „Опитът с PowerShell и познанията за облачните платформи бяха нишови умения преди няколко години. Днес за анализаторите от средния и висшия SOC клас това изглежда като залог за участие в конкурса.“
Проучването на SANS показва, че много SOC специалисти не са развълнувани от първоначалното използване на инструменти за изкуствен интелект и машинно обучение за целите на SOC анализа. Всъщност респондентите дават най-ниска оценка на инструментите за изкуствен интелект и ML, когато са помолени да оценят инструментите за SOC. Въпреки това няма съмнение, че технологиите за изкуствен интелект и GenAI ще променят из основи SOC, а в процеса на работа – и пейзажа на уменията.
Йънг казва, че ИИ фундаментално ще продължи да се движи напред, за да подобри автоматизираното откриване на заплахи, проактивния лов на заплахи, автоматизацията на повтарящи се и отнемащи време задачи, намаляването на умората от предупрежденията и прогнозния анализ. Все по-често SOC анализаторите ще трябва да познават алгоритмите за машинно обучение и техниките за анализ на данни, за да интерпретират прозренията, генерирани от ИИ, казва Йънг. Те ще се нуждаят и от умения за справяне със сложни инциденти със сигурността, идентифицирани от системите с ИИ, и от готовност непрекъснато да се учат и адаптират към новите технологии и методологии с ИИ, казва той.
Уилямс очаква инструментите на ИИ да намалят нуждата от анализатори, чиято единствена роля е била да реагират на основни аларми. „Младшите анализатори трябва да се вглеждат още сега в това какви задачи ИИ върши – и какви не – добре и да се обучават в местата, където не могат да бъдат заменени от ИИ, като например критичното мислене“, казва той. „SOC на бъдещето ще бъде по-малко свързан с това да знаеш, че порт 3389 е RDP – AI ще предостави този контекст при поискване – и повече с това да осигуриш „защо това има значение в този контекст?“.
Творческото мислене, когато става въпрос за интересни проблеми и корелации, ще остане ключов актив за SOC специалистите, казва Саджиб Лохани, старши директор по киберсигурност в Bugcrowd. „В днешно време SIEM системите са способни да повдигат сигнали, така че е доста лесно да се влезе в рутина и да се отмятат тикети“, казва той. „Според мен обаче най-успешните професионалисти са способни да корелират събитията и да разбират бизнес контекста при сортирането и реагирането на такива сигнали. Този контекст е от ключово значение.“
Лохани очаква, че някои заплахи, които се смятат за относително нишови проблеми в SOC, ще станат по-важни през следващите няколко години. „Понастоящем голяма част от SOC не са се сблъсквали с по-нишови заплахи, като например проблеми със сигурността на веригата за доставки“, казва той. „Вярвам, че с течение на времето това ще започне да се променя и ще са [необходими] по-зрели практики, за да се подготвят и адаптират.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.