Mengapa perusahaan membutuhkan strategi data yang lengkap [Q&A]

Mengapa perusahaan membutuhkan strategi data yang lengkap [Q&A]

Berkat eCommerce, perangkat IoT, media sosial, dan lainnya, organisasi mengumpulkan volume data yang lebih besar daripada sebelumnya. Tetapi seringkali ini atas dasar bahwa mereka mengumpulkan semuanya dan memikirkan apa yang harus dilakukan nanti. Sebuah pendekatan yang membuat mereka berisiko bahwa data dapat disalahgunakan.

Kami berbicara dengan CISO Bernard Brantley dari firma deteksi dan respons terbuka Corelight, yang percaya bahwa organisasi dapat menerapkan strategi data lengkap, memungkinkan mereka untuk bekerja mundur dari risiko ke log mentah dan membuat rantai pasokan yang menghasilkan informasi penting untuk aktivitas pengurangan risiko.

BN: Bagaimana organisasi perlu mengevaluasi ulang strategi data mereka?

BB: Ada lima langkah penting untuk mengembangkan strategi data lengkap yang memungkinkan organisasi menghasilkan informasi penting untuk aktivitas pengurangan risiko:

Kumpulkan data yang relevan — Manfaatkan aktivitas penilaian risiko seperti pemodelan ancaman untuk menentukan jenis dan atribut log mana yang memberikan nilai paling tinggi bagi tim Anda. Coba mulai dengan kasus penggunaan sehingga Anda dapat memaksimalkan informasi dari log yang sudah dikumpulkan sebelum memasukkan log bernilai lebih rendah. Lakukan pekerjaan di awal — Lupakan kueri ad-hoc yang tidak efisien dan sebagai gantinya kategorikan dan klasifikasikan aktivitas dalam log. Mendukung alur kerja analitik, para pembela HAM dapat membuat tampilan seperti dasbor tentang aktivitas yang relevan, melihat tren jangka pendek dan jangka panjang, dan mengidentifikasi titik buta dalam liputan. Dengarkan pemangku kepentingan — Jika bisnis tidak mampu mewujudkan keluaran keamanan menjadi tindakan, tidak ada nilainya. Menggabungkan logika bisnis ke dalam cara tim keamanan membuat keluaran dapat memberikan nilai analitik tambahan melalui log yang mereka kumpulkan. Evaluasi ulang secara konsisten — Kemampuan untuk mempelajari, melupakan, dan mempelajari kembali sangat penting untuk mengumpulkan konteks tambahan melalui pengumpulan jenis log tambahan atau penggabungan data yang sebelumnya berbeda. Penambahan tidak terbatas — Menambahkan jenis log tambahan, proses transformasi, atau menghasilkan keluaran baru harus tidak terbatas. Strategi data dan arsitektur rantai pasokan Anda harus memungkinkan implementasi yang bebas gesekan dan tepat waktu sehingga tim dapat mengembangkan kasus penggunaan baru.

BN: Apakah platform manajemen informasi dan acara keamanan (SIEM) cukup?

BB: Saat tim pencari ancaman bergerak menuju ketahanan dan keamanan berbasis data, mereka membutuhkan data yang memberikan visibilitas ke segala sesuatu yang terjadi di jaringan, tidak hanya data peristiwa seperti peringatan. Lebih banyak data berarti lebih banyak volume, memperluas SIEM hingga batasnya. Oleh karena itu mengapa semakin banyak pembela benar-benar menggunakan dua platform SIEM, tujuannya adalah pencarian yang lebih cepat dan jalur ke analitik khusus dengan biaya yang masuk akal.

Meski begitu, memiliki dua belum tentu ideal. Institusi besar mampu membelinya dan memiliki kekuatan manusia, tetapi biayanya masih mahal bagi 95 persen organisasi lain yang tidak memiliki tim khusus atau kemampuan untuk menyebarkan dan memelihara danau data keamanan.

Organisasi sering menerapkan strategi pengumpulan data karena takut kehilangan sesuatu. Saya menantang asumsi bahwa kita harus mengumpulkan semuanya dan menentukan penggunaannya pada titik kejadian.

BN: Bagaimana strategi data yang disempurnakan memengaruhi aktivitas penilaian risiko organisasi?

BB: Saat tim menetapkan parameter tentang apa yang harus dicari, apa yang harus disimpan untuk analisis berkelanjutan dan mendatang, serta memastikannya sebagai proses berulang, mereka tidak perlu lagi mendidihkan lautan untuk mendapatkan hasil yang mereka butuhkan. Dermawan jangka panjang di sini penilaian risiko, yang kemudian dapat dilakukan dengan waktu yang efisien, sangat kolaboratif dan komunikatif memungkinkan tim untuk memahami dan mendapatkan kebenaran lebih cepat.

BN: Apa nilai bukti dalam strategi data lengkap?

BB: Tim keamanan membutuhkan fakta untuk membangun kasus tidak bersalah atau bersalah. Mereka menghargai bukti, tetapi itu tidak berarti mereka menjalankan strategi berbasis bukti. Sangat penting bagi kami untuk melihat bukti kami sebagai bahan mentah dalam rantai pasokan intelijen dan mencari peluang untuk mengekstraksi nilai maksimum. Ini dapat mengulur waktu tim melalui perubahan struktural proaktif dan membantu menghindari dampak yang tidak perlu dari musuh.

Pembela dapat menggunakan bukti secara proaktif untuk mengidentifikasi dan melindungi risiko struktural dalam zona kendali mereka. Bukti juga dapat digunakan secara reaktif dengan mendukung aktivitas deteksi (re)engineering, respons, dan pemulihan. Tidak mungkin untuk menghindari peristiwa keamanan, tetapi di sisi mana kita menghabiskan sebagian besar siklus kita bergantung pada keseluruhan strategi data kita dan bagaimana kita memelihara bukti kita.

BN: Ke depan, apa dua risiko terbesar yang dihadapi tim keamanan organisasi di tahun baru jika mereka tidak mengubah strategi data mereka?

BB: Sebenarnya ada satu risiko dengan dua tingkat dampak yang berbeda. Tanpa mengutak-atik strategi data mereka, pembela HAM tidak akan dapat menemukan dan mengeksploitasi hubungan di dalam data dengan cara yang tahan lama. Akibatnya, peluang untuk berkolaborasi di dalam atau di seluruh tim untuk lebih mengembangkan program keamanan yang inklusif akan tetap menjadi titik buta. Data yang kami pegang saat ini berisi lebih dari sekadar konteks untuk data tingkat peristiwa-peristiwa. Setiap sumber data mewakili jumlah operasi untuk tim tertentu menuju hasil. Ikatan kontekstual lintas sumber data mewakili interaksi yang diketahui dan tidak diketahui antara tim tersebut; poin keterlibatan yang dapat mengarah pada operasi yang lebih efisien dan lengkap.

Juga akan sulit untuk memanfaatkan otomatisasi di sekitar alur kerja deteksi dan respons insiden yang membantu penjelasan; cerita yang dapat kami ceritakan tentang data kami. Narasi yang kuat adalah alat utama dalam mengubah informasi khusus domain (keamanan, bisnis, dll.) menjadi pengetahuan institusional. Tanpa mereka kita akan terus kehilangan kesempatan untuk memengaruhi perubahan yang berdampak pada budaya dan tim keamanan akan berjuang untuk mensosialisasikan nilai mereka yang sebenarnya di luar organisasi keamanan.

Kredit gambar: ml12nan/depositphotos.com

Author: Kenneth Henderson