0
0
Em uma história aparentemente tão antiga quanto o tempo, as equipes de segurança estão continuamente sob cerco. Sejam novos caminhos de ataque, adversários letais, novas tecnologias — como nuvem pública, conteinerização, Kubernetes e computação sem servidor — ou requisitos regulamentares rigorosos, as equipes enfrentaram um grande fardo. Para ajudar a arcar com a carga, o setor estabeleceu estruturas e lançou tecnologias incríveis, de SIEMs a CNAPPs e XDRs a CASBs. Esses processos e tecnologias ajudaram a manter os invasores afastados e as pessoas protegidas, mas criaram um novo problema de excesso de dados.
Para enfrentar esse mundo orientado por dados, os CISOs e as equipes de segurança precisarão abraçar os dados e olhar para fora das personas de segurança tradicionais para adotar um novo modelo de trabalho: operações de dados de segurança ou simplesmente (e mais cativante) SecDataOps.
SecDataOps é um termo usado para descrever o processo de integração de dados em todo o ciclo de vida da segurança, seja para gerenciamento de riscos, resposta a incidentes ou produção de inteligência de ameaças cibernéticas. Dados quantitativos sobre seu ambiente, ativos, domínio de negócios e adversários devem ser usados. Isso também significa que as equipes de segurança devem adotar fortes processos de análise de dados, engenharia e ciência, desde a coleta e armazenamento de dados até a disseminação e arquivamento. O objetivo do SecDataOps é garantir que os dados sejam sempre bem selecionados e acessíveis, e que as decisões de segurança sejam tomadas com dados de alta fidelidade.
Força-Tarefa Conjunta
O SecDataOps não precisa ser uma estrutura de relatórios formalizada de uma só vez, mas pode ser uma força-tarefa conjunta e uma responsabilidade horizontal adicional em um programa de segurança. Ocasionalmente, o SecDataOps pode se infiltrar na arquitetura corporativa, na TI corporativa e em outras equipes, conforme necessário. Em vez de forçar todos os seus engenheiros de segurança a se tornarem engenheiros de dados, considere primeiro trazer consultores de big data e outros especialistas para ajudar a levar em consideração como os dados se movem nas organizações, onde são armazenados, quanto custam, até o fim. esquema e formatos.
Depois que a governança e o gerenciamento dos dados brutos disponíveis para uma equipe diretamente das ferramentas de segurança ou dos ambientes (por exemplo, APIs em nuvem, bancos de dados de gerenciamento de configuração, data lakes existentes) estiverem concluídos, as métricas precisam ser definidas. Os acordos de nível de serviço (SLAs) geralmente são acordos formalizados, mas são uma ótima maneira de manter suas crescentes práticas de SecDataOps em altos padrões de qualidade.
SLAs fortes definem o propósito de definir o SLA (o porquê), a promessa e a métrica específica (o quê e como) e quaisquer requisitos específicos (o quando), se aplicável. A criação desses SLAs desde o início que se alinham ao programa SecDataOps geral e a conjuntos de dados, feeds de dados ou projetos específicos será importante para obter coesão e sucesso SecDataOps de longo prazo.
Somente quando uma linha de base sólida é definida, projetos especializados ou revisões de processos podem ser executados. Essa mesma abordagem contextual pode ser aplicada à remediação do gerenciamento de postura de segurança na nuvem ou como enriquecimento para requisitos de investigação em tempo real, como obter propriedade e dados de ativos em uma investigação de alerta de segurança.
A decisão de liderança de uma equipe SecDataOps é uma escolha importante e pode precisar mudar à medida que a equipe amadurece. Ao existir como uma responsabilidade adicional ou força-tarefa conjunta, pode fazer sentido que o CISO execute a função, independentemente de seu nível de perspicácia técnica prática; isso é para manter a equipe multifuncional unida. Os resultados do SecDataOps terão uma forte ênfase nos negócios, pois o objetivo é detectar, identificar e abordar rapidamente vários riscos.
Aproveitar os dados e construir redes adversárias generativas e painéis maciços de inteligência de negócios para quantificar o risco cibernético é a parte empolgante do SecDataOps. Mas grande parte do trabalho será formativa e o resultado para proteger o negócio ainda é o objetivo principal. Não tenha medo de trazer talentos externos para construir os dados da equação. Ter uma equipe pronta para treinar e aprender uns com os outros será muito mais bem-sucedido do que jogar engenheiros de segurança para os lobos de dados.
Esse problema de dados de segurança não vai desaparecer. Começar é simplesmente uma operação de coleta de informações: reúna-se com suas equipes, entenda como elas aproveitam os dados, quais dados gostariam de ter e comece a partir daí. Não se perca sonhando com os algoritmos legais de aprendizado de máquina que você pode implantar quando, às vezes, o melhor resultado são dados bem administrados. SecDataOps é a maneira como vencemos essa guerra de dados e derrotamos nossos adversários.
FONTE: DARK READING