Bardziej złożone sieci, w tym usługi i infrastruktury w chmurze, aplikacje mobilne, wirtualne pulpity, SDN/NFV oraz systemy internetu rzeczy, obciążają zespoły operacyjne zarówno w obszarze sieci, jak i bezpieczeństwa. Jednocześnie coraz bardziej wyrafinowane i natarczywe ataki podważają tradycyjne role i struktury organizacyjne.
Ważną rolę odegra tu rozwój technologii: wbudowane i bardziej zautomatyzowane przepływy pracy, sztuczna inteligencja w celu usprawnienia systemu zarządzania alertami i analizy oraz lepiej zintegrowana analiza i interpretacja zagrożeń (threat intelligence). Ale lepsze technologie nie wystarczą, żeby skutecznie zabezpieczyć się przed współczesnymi atakami. W równym stopniu, co rozwój technologii, potrzebne są nam zmiany w modelu współpracy między zespołami operacyjnymi w zakresie sieci i bezpieczeństwa.
Naturalny punkt konwergencji
Poprzez zaawansowane ataki napastnikom coraz częściej udaje się przeforsować zabezpieczenia sieci, wejść do środka, realizować ruchy poziome w celu znalezienia i wykorzystania słabych punktów, a ostatecznie wyciągnąć wartościowe dane.Widoczność systemu bezpieczeństwa wewnątrz sieci to naturalny punkt zbieżności między zespołami operacyjnymi w zakresie sieci i bezpieczeństwa. Architekci, inżynierowie i analitycy w zespołach SOC pełnią wiodącą rolę w tworzeniu systemów bezpieczeństwa, ale do inżynierów sieci należy kluczowe zadanie łagodzenia skutków ataku i przywracania systemu. Przy pracach związanych z ograniczaniem lub usuwaniem zagrożeń analitycy bezpieczeństwa często ściśle współpracują z administratorami sieci i punktów końcowych, a w niektórych przypadkach oddelegowują im swoje zadania.
Jakość współpracy
Jak sami zainteresowani postrzegają obecnie jakość wzajemnej współpracy? Jak wykazano w raporcie The State of Cyber Security Professional Careers, przygotowywanym co roku przez organizacje ESG Research i ISSA na podstawie odpowiedzi 437 specjalistów z branży bezpieczeństwa i IT z całego świata, im wyższego szczebla pracownikami byli respondenci, tym lepiej postrzegali wzajemne relacje: 48% kierowników było zdania, że współpraca przebiega bardzo dobrze. Ale gdy spojrzymy na odpowiedzi specjalistów na pierwszej linii cyberbezpieczeństwa, wyniki nie są już tak zachęcające. Tylko 32% pracowników niższego szczebla przyznało, że wzajemne relacje są bardzo dobre.
Trzy najważniejsze wyzwania we współpracy między zespołami w zakresie IT i bezpieczeństwa:
- Ustalenie priorytetów zadań obu grup
- Koordynacja procesów
- Ujednolicenie celów
Pomocna we wspieraniu współpracy może okazać się technologia i takie usprawnienia jak skuteczniejsze metody udostępniania danych i wspólne dla obu zespołów, zautomatyzowane przepływy pracy. Panele sterowania czy interfejsy użytkownika mogą być budowane wokół określonej roli użytkownika, ale ich działanie musi opierać się na wspólnych, uzgodnionych danych i definicjach.
Wzmocnienie współpracy będzie wymagało również wdrożenia nowych procesów i zmian w relacjach między zespołami w zakresie sieci i bezpieczeństwa.
Droga do bliższej współpracy
Podstawowym krokiem w kierunku lepszej koordynacji działań pomiędzy zespołami jest uzgodnienie wspólnych definicji kluczowych pojęć: czym jest incydent zagrażający bezpieczeństwu i jak ustalane są poziomy ochrony i priorytety.
Kolejnym jest regularny i częsty kontakt pomiędzy zespołami, co pozwala ustalać priorytetowy charakter zdarzeń i koncentrować wysiłki — szczególnie w trakcie reagowania, ale nie tylko.
Oto niektóre strukturalne i organizacyjne działania, podejmowane w celu wspierania współpracy między zespołami:
- Zwiększanie udziału bezpieczeństwa w planowaniu IT
- Wdrażanie nowych procesów lub standardów informatycznych, takich jak COBIT, ITIL, NIST-800 itp.
- Powierzanie wybranych zadań działu IT zespołowi ds. bezpieczeństwa
Regularny udział specjalistów bezpieczeństwa w planowaniu IT przekłada się na zwiększenie przejrzystości i zaufania pomiędzy zespołami. Dzięki temu, że uczestniczą w procesach planowania, testowania i wdrażania, specjaliści bezpieczeństwa mają szansę poznać nowe inicjatywy IT od podszewki. Stosowanie standardów takich jak COBIT czy ITIL może, z kolei, sformalizować przepływy pracy oraz inicjować częstsze kontakty. One także pomagają budować zaufanie pomiędzy organizacjami i członkami zespołów.
Projekt w realizacji
Dbanie o skuteczność systemu ochrony to obowiązek całego zespołu. Coraz większa złożoność dużych sieci oraz szersze możliwości cyberprzestępców podważają obowiązujące role i struktury organizacyjne. Cyberbezpieczeństwo zależy od powodzenia kolektywnych wysiłków całej organizacji. Pozostaje jeszcze dużo do zrobienia, aby zrealizować plan konwergencji zespołów operacyjnych w zakresie sieci i bezpieczeństwa. Podobnie jak technologie i narzędzia, relacje pomiędzy zespołami muszą stale się rozwijać.