Традиционният SOC по същество се контролира в повечето случаи от SIEM, например Splunk. Езикът и вътрешната работа на SIEM са от първостепенно значение за екипа на SOC и често решенията за наемане се вземат въз основа на уменията със съществуващия SIEM и други SOC инструменти. С други думи, SOC екипите често са принудени да наемат програмисти, а не професионалисти по сигурността поради зависимостите от основните SOC инструменти.
Как би било, ако професионалистите от SOC магически получат способността да изграждат логика за откриване, без изобщо да е необходимо да пишат нито един ред код? Няма ли SOC мениджърите да наемат експерти по сигурността вместо програмисти? Да, абсолютно биха го направили. Точно по този начин новият, бъдещ SOC ще трябва да се трансформира, ако има за цел да защитава предприятията от заплахи, а не просто да поддържа сложни инструменти, които страдат от лоша способност за откриване и генериране на шумни предупреждения. Мениджърите на SOC трябва да изискват това от доставчиците на сигурност.
Представяне на понятията за нисък код и без код. Тези разбиращи се термини определят съответно относително малкото усилие за кодиране и абсолютно никакво усилие за кодиране при изграждането на бизнес приложения/логика. Ние вярваме в пълното прекъсване на изграждането на приложения/логика, особено в SOC, тъй като има достатъчно сложна работа, която трябва да се свърши, за да се поддържа, да не говорим за напредък, на пейзажа на заплахите и изграждането на алгоритми (логика) за откриване на сложни заплахи, често се движат бързо в едно предприятие. Следователно, подходът без код към SOC е отчаяно необходим, за да не само да направи SOC ефективни, но и да даде възможност на експертите по сигурността да поемат отговорността за откриване на заплахи за сигурността и реакция, а не програмист/разработчик.
Според Gartner до 2024 г. разработката на приложения с нисък код/без код ще отговаря за повече от две трети от дейността по разработка на приложения в индустрията. Това е 165% ръст от днес, според „Доклада за тенденциите в корпоративните технологии за 2020 г.“ на Salesforce.
Как може да изглежда това? Среда без код в SOC би позволила на анализатор на заплахи да моделира сценарии за откриване спрямо действителни модели на атака на заплаха, например като тези, описани в MITER ATT&CK рамка, вместо да моделира откриване въз основа на това, което основният инструмент може или не може да направи. Резултатът ще бъде разработването на сложен модел за откриване на модел на атака от експерт по сигурността, а не от програмист, чрез преместване на атомарни блокове на логиката и свързване на операнди с/между тях, което води до модел на откриване, който може да обхване дни - всичко това без писане на един ред код. Представете си света на блокчетата Lego в SOC — всички блокчета с правилните цветове, форми, размери и функционална стойност са там — художникът просто трябва да ги сглоби, без да е необходимо производство или изработка. Те автоматично се блокират един с друг - експертът може да определи вида на необходимото блокиране.
Внедряване без код в рамките на конструктор за откриване на заплахи за сигурността, насочено към анализатор на заплахи/разузнаване в SOC, би изобразило не твърде сложна логика за откриване на странично движение като тази и ще отнеме минути на експерт по сигурността, за да състави:
Докато кодът, написан на SPL (основния език на Splunk), може да започне да изглежда така и да се простира над 200 реда код и вероятно никъде не е толкова четим, колкото по-долу:
Да не говорим за значително дългото време, необходимо за написването на такъв код, трудния за намиране опитен програмист, сложността на тестването, както и липсата на повторна употреба (и модулност) на кода.
Примерът до голяма степен подчертава важността на липсата на код в SOC, за да можете да се съсредоточите върху задачата - откриване на заплахи и реакция - и да не се затъвате в инструментите за сигурност. Откриването на заплахи става не само по-лесно, но и много по-ефективно поради възможността за многократна употреба и въвежда способността за каскадни подобрения в една техника за всички откривания на сценарии които използват тази техника — 100 откривания могат да бъдат надградени с няколко щраквания, като по този начин масово се подобрява разширяемостта и валутата на SOC организация. Представете си значителния тласък, който това може да осигури на SOC екипите по отношение на готовността при откриване на заплахи, както и ефективността.
Без код скоро ще разбие монолитния, бавен процес на откриване (и съответно отговор) на SOC!
