Uma estrutura de métrica sociotécnica para centros de operações de rede e segurança

Em janeiro de 2019, publiquei um artigo no Information Security Buzz intitulado " Então, você quer ser uma estrela da segurança?", que explorava a atual falta de talentos de segurança disponíveis, a educação necessária, o dia típico de um analista de SOC, a fadiga real no trabalho e maneiras de aumentar o moral dos profissionais de segurança da informação. Também analisamos um estudo de 2015, Um modelo de capital humano para mitigar o esgotamento de analistas de segurança , que adotou uma abordagem antropológica para explorar o fenômeno do esgotamento. Eles conseguiram treinar e então colocar pesquisadores em diferentes Centros de Operações de Segurança para entender melhor, além de entrevistas, o que está causando a exaustão. Eles analisaram o moral, a automação, a eficiência operacional, as métricas de gestão e, claro, como isso leva ao esgotamento dos analistas. O estudo identificou quatro fatores que impactam a criação e preservação de analistas de segurança eficientes: Habilidades, Empoderamento, Criatividade e Crescimento.

Enquanto nos preparávamos para publicar, entrei em contato com um dos autores do estudo, Alex Bardas , atualmente professor assistente de Ciência da Computação na Universidade do Kansas . Queria agradecer a ele pela pesquisa e dar a ele a oportunidade de revisar como representamos o estudo.

Durante a conversa, Alex mencionou que estava trabalhando em uma nova proposta de financiamento para a National Science Foundation (NSF) para outro projeto de pesquisa. Esta proposta se concentrou no desenvolvimento de uma nova estrutura de métricas para centros de operações de segurança (SOCs) que mede e valida o desempenho do SOC em relação à segurança da rede corporativa. É uma colaboração com o professor Bradley Fidler, do Instituto de Tecnologia Stevens, que estuda a evolução de longo prazo das arquiteturas de rede de uma perspectiva social e institucional. Alex perguntou se a F5 estaria interessada em colaborar neste projeto de dois anos e o F5 SOC concordou entusiasticamente.

Centros de Operações de Rede e Centros de Operações de Segurança (NOCs/SOCs) são componentes centrais das redes empresariais modernas. As organizações implantam NOCs/SOCs para gerenciar suas operações de rede, defender-se contra ameaças cibernéticas e manter a conformidade regulatória. Tradicionalmente, essas organizações recebem uma visão abstrata da segurança da rede por meio da interface de métricas NOC/SOC, e o NOC/SOC, por sua vez, interage com a rede por meio de software de monitoramento. Ao isolar um subconjunto restrito de medições de “desempenho”, normalmente uma contagem de tickets fechados, essas métricas deturpam tanto a eficácia do NOC/SOC quanto a postura de segurança da própria rede. Essas métricas tendem a incentivar comportamento improdutivo em um NOC/SOC, ocultar vulnerabilidades de segurança potencialmente fundamentais na própria rede e desencadear processos desestabilizadores de "dimensionamento correto" na organização controladora.

Alex e sua equipe querem desenvolver uma nova estrutura de métricas que harmonizará o desempenho do NOC/SOC em relação à segurança da rede corporativa. Eles estão criando métricas que servem como proxies para fatores como planejamento estratégico e de longo prazo e fornecem aos operadores NOC/SOC locais maneiras de inserir conhecimento local em decisões de nível superior. No final, eles querem:

1. Seja transformador na capacidade de comunicar a eficácia da segurança no mundo real,

2. Adaptar-se às operações e práticas de gestão pré-existentes do NOC/SOC,

3. Servir como base para uma nova geração de ferramentas de segurança de rede empresarial

(que por sua vez acabará por…)

4. Corrija o ciclo vicioso entre as práticas do NOC/SOC e a tomada de decisões de gestão.

Ao tratar redes, componentes de segurança e equipe de operações como parte de um sistema interdependente, as métricas poderão levar em conta fatores como vulnerabilidades de segurança pendentes, planejamento estratégico e de longo prazo e interesses do eleitorado, e fornecerão aos analistas do SOC no local maneiras de inserir conhecimento local em decisões de nível superior. Isso poderia ter o potencial de desencadear uma grande mudança no cenário de segurança ao fornecer uma nova estrutura poderosa para avaliações de segurança no mundo real.

Até agora, sua equipe de pesquisa incorporou um pesquisador acadêmico em um centro de operações de segurança separado e está analisando a evolução das interfaces entre a equipe do NOC/SOC, o software de monitoramento de rede e a arquitetura de rede corporativa. Eles ainda estão nos estágios iniciais do projeto e nosso envolvimento tem sido mais consultivo do que prático. Estamos ansiosos para testar alguns dos elementos de hipóteses do estudo e fornecer feedback à equipe quando apropriado.

Olhando para o futuro, planejamos postar atualizações periódicas do projeto de pesquisa, incluindo marcos, análises iniciais e, com sorte, alguns resultados que possam ajudá-lo em suas operações NOC/SOC.