Hälytysväsymyksen epidemia
Nykyaikaisessa kyberturvallisuudessa on perustavanlaatuinen ristiriita: hyökkääjät kohdistavat iskunsa liiketoimintaprosesseihin, mutta tietoturvatyökalut valvovat vain teknistä infrastruktuuria.
Standardit SIEM-alustat ovat tunnetusti meluisia. Ne tuottavat tuhansia hälytyksiä puhtaasti teknisen vakavuuden perusteella (esim. "Korkea suorittimen käyttöaste" tai "Kirjautumisyritys epäonnistui"). Tuloksena on katastrofaalinen hälytysväsymys. Tietoturva-analyytikot käyttävät päivänsä väärien positiivisten selvittämiseen, samalla kun liikevaihtoa tuottaviin järjestelmiin kohdistuvat kriittiset uhat jäävät huomaamatta.
Itse asiassa vakiototeutukset ilman liiketoimintakontekstia tuottavat rutiininomaisesti jopa 80 % vääriä positiivisia.
Puuttuva lenkki: Liiketoimintakonteksti
Perinteinen SIEM käsittelee eristetyn vieras-Wi-Fi-reitittimen haavoittuvuutta täsmälleen samalla kiireellisyydellä kuin haavoittuvuutta keskeisessä tietokannassa, joka käsittelee asiakasmaksujasi.
Tämän ratkaisemiseksi organisaatiot tarvitsevat "siirtojärjestelmän" – liiketoimintatiedon kerroksen, joka muuntaa uhkien havaitsemisen raa'an tehon priorisoiduiksi liiketoimintatuloksiksi.
Tämä on periaate, jonka nimi on Liiketoimintatietoinen tietoturva. Automatisoimalla jokaisen IT-resurssin yhdistämisen tukemaansa liiketoimintaprosessiin tekniset hälytykset muunnetaan välittömästi liiketoimintariskiksi.
Miten liiketoimintatiedon hyödyntäminen muuttaa priorisointia
Kun Nuqe ottaa käyttöön SecureVisio-alustan, otamme käyttöön älykkään liiketoimintakerroksen, joka muuttaa perustavanlaatuisesti SOC:n toimintaa:
- Kontekstuaalinen suodatus: Jos hälytys ei aiheuta uhkaa kriittisille liiketoimintapalveluille, sen prioriteettia lasketaan. Tämä liiketoimintatietoinen suodatus vähentää hälytysmelua jopa 60 %, jolloin analyytikot voivat keskittyä todellisiin uhkiin.
- Taloudellisen vaikutuksen pisteytys: Kun tapaus sattuu, alusta ei näytä vain IP-osoitetta. Se näyttää johtoryhmälle tarkalleen, mitä on vaakalaudalla: Varoitus: Maksunkäsittely on häiriintynyt. Mahdolliset seisokkiajan kustannukset: 22 000 dollaria/minuutti.
- Automatisoitu, prioriteettiohjattu vastaus: SOAR (Security Orchestration, Automated Response) -toimintamallit käynnistyvät liiketoiminnan kriittisyyden perusteella eristäen uhat kriittisistä omaisuuseristä sekunneissa odottamatta ihmisen väliintuloa.
Teknisistä mittareista liiketoiminnan selkeyteen
Johtajat eivät voi tehdä tietoon perustuvia päätöksiä "tuhansien estettyjen palomuurikyselyjen" perusteella. Heidän on tiedettävä, onko tuotanto turvallista, onko asiakastieto turvassa ja ovatko tulovirrat suojattuja.
Priorisoimalla tapauksia tuloriskin eikä pelkkien teknisten mittareiden perusteella tietoturva muuttuu reaktiivisesta IT-toiminnosta ennakoivaksi toimintakyvyn turvaajaksi.
NEED HELP TRANSLATING YOUR SECURITY OPERATIONS INTO BUSINESS LANGUAGE?
We implement SecureVisio with business intelligence built in.
