Un cadre de mesures sociotechniques pour les centres d'opérations de réseau et de sécurité

En janvier 2019, j'ai publié un article sur Information Security Buzz intitulé « Alors, vous voulez devenir une star de la sécurité ? » qui explorait le manque actuel de talents en matière de sécurité, la formation requise, la journée type d'un analyste SOC, la fatigue réelle au travail et les moyens de stimuler le moral des travailleurs de la sécurité de l'information. Nous avons également étudié une étude de 2015, A Human Capital Model for Mitigating Security Analyst Burnout , qui a adopté une approche anthropologique pour explorer le phénomène de l’épuisement professionnel. Ils ont pu former puis placer des chercheurs au sein de différents Centres d’Opérations de Sécurité pour mieux comprendre, au-delà des entretiens, ce qui motive cet épuisement. Ils ont examiné le moral, l’automatisation, l’efficacité opérationnelle, les mesures de gestion et bien sûr, comment cela conduit à l’épuisement professionnel des analystes. L’étude a identifié quatre facteurs qui ont un impact sur la création et la préservation d’analystes de sécurité efficaces : Compétences, autonomisation, créativité et croissance.

Alors que nous nous préparions à publier, j’ai contacté l’un des auteurs de l’étude, Alex Bardas , actuellement professeur adjoint d’informatique à l’ Université du Kansas . Je voulais le remercier pour la recherche et lui donner l’occasion d’examiner la manière dont nous avons représenté l’étude.

Au cours de cette conversation, Alex a mentionné qu'il travaillait sur une nouvelle proposition de subvention à la National Science Foundation (NSF) pour un autre projet de recherche. Cette proposition était axée sur le développement d’un nouveau cadre de mesures pour les centres d’opérations de sécurité (SOC) qui mesure et valide les performances des SOC par rapport à la sécurité du réseau d’entreprise. Il s'agit d'une collaboration avec le professeur Bradley Fidler du Stevens Institute of Technology, qui étudie l'évolution à long terme des architectures de réseau d'un point de vue social et institutionnel. Alex a demandé si F5 serait intéressé à collaborer sur ce projet de deux ans et le F5 SOC a accepté avec enthousiasme.

Les centres d’opérations réseau et les centres d’opérations de sécurité (NOC/SOC) sont des composants centraux des réseaux d’entreprise modernes. Les organisations déploient des NOC/SOC pour gérer leurs opérations réseau, se défendre contre les cybermenaces et maintenir la conformité réglementaire. Traditionnellement, ces organisations disposent d’une vue abstraite de la sécurité du réseau via l’interface des mesures NOC/SOC, et le NOC/SOC, à son tour, s’interface avec le réseau via un logiciel de surveillance. En isolant un sous-ensemble restreint de mesures de « performance », le plus souvent un décompte de tickets fermés, ces mesures déforment à la fois l’efficacité du NOC/SOC et la posture de sécurité du réseau lui-même. Ces mesures ont tendance à encourager un comportement improductif dans un NOC/SOC, à masquer des vulnérabilités de sécurité potentiellement fondamentales dans le réseau lui-même et à déclencher des processus de « redimensionnement » déstabilisants dans l’organisation de contrôle.

Alex et son équipe souhaitent développer un nouveau cadre de mesures qui harmonisera les performances NOC/SOC avec la sécurité du réseau d'entreprise. Ils élaborent des mesures qui servent de proxy pour des facteurs tels que la planification stratégique et à long terme et fournissent aux opérateurs NOC/SOC sur le terrain des moyens d'intégrer les connaissances locales dans les décisions prises à un niveau supérieur. En fin de compte, ils veulent :

1. Soyez transformateur dans la capacité à communiquer l'efficacité de la sécurité dans le monde réel,

2. S'adapter aux opérations et aux pratiques de gestion préexistantes du NOC/SOC,

3. Servir de base à une nouvelle génération d’outils de sécurité des réseaux d’entreprise

(qui à son tour finira par…)

4. Corriger le cercle vicieux entre les pratiques NOC/SOC et la prise de décision de la direction.

En traitant les réseaux, les composants de sécurité et le personnel d’exploitation comme faisant partie d’un système interdépendant, les mesures pourront prendre en compte des facteurs tels que les vulnérabilités de sécurité exceptionnelles, la planification stratégique et à long terme et les intérêts des groupes d’intérêt, et fourniront aux analystes SOC sur le terrain des moyens d’intégrer les connaissances locales dans les décisions de niveau supérieur. Cela pourrait avoir le potentiel de déclencher un changement majeur dans le paysage de la sécurité en fournissant un nouveau cadre puissant pour les évaluations de sécurité dans le monde réel.

Jusqu’à présent, leur équipe de recherche a intégré un chercheur universitaire dans un centre d’opérations de sécurité distinct et analyse l’évolution des interfaces entre le personnel du NOC/SOC, le logiciel de surveillance du réseau et l’architecture du réseau d’entreprise. Ils en sont encore aux premiers stades du projet et notre implication a été davantage consultative que pratique. Nous sommes impatients de tester potentiellement certains des éléments d’hypothèse de l’étude et de fournir des commentaires à l’équipe lorsque cela est approprié.

À l’avenir, nous prévoyons de publier des mises à jour périodiques du projet de recherche, y compris les étapes importantes, les premières analyses et, espérons-le, certains résultats qui pourraient vous aider dans vos opérations NOC/SOC.