CSMA — это подход к разработке составных распределенных элементов управления безопасностью для повышения наглядности, интеллектуальности и эффективности защиты. Эта архитектура призвана помочь разработчикам и архитекторам систем безопасности согласовать свои планы в отношении технологий безопасности и идентификации для создания более гибкой и глубокой защиты следующего поколения.

Анализ

В мире, где сбои в работе являются нормой, организациям сейчас гораздо важнее создавать интегрированную и гибкую инфраструктуру безопасности. CSMA, которая представляет собой компонуемый и масштабируемый архитектурный подход, обеспечивающий безопасные централизованные операции по обеспечению безопасности и надзору в мире децентрализованных ИТ‑систем и сервисов. Такое сочетание централизованного и децентрализованного подходов к обеспечению безопасности подчеркивает:

1. Комплексный независимый мониторинг безопасности

2. Аналитика и правоприменение

3. Централизованная информация и управление

4. Единая структура идентификации

Все это должно поддерживаться стандартами взаимосвязанности и интероперабельности.
CSMA повышает эффективность защиты, обнаружения и реагирования за счет создания и усиления связей между инструментами для обеспечения согласованной системы безопасности.

Данный подход к построению архитектуры ИБ решает проблему растущей сложности управления развертываниями систем безопасности и удостоверений личности. Изолированного выбора и развертывания средств безопасности, при котором не используется общий контекст и оповещения, больше недостаточно. В результате инфраструктура безопасности не всегда может обнаруживать вторжения и реагировать на них достаточно быстро и точно. Организации должны в дальнейшем планировать переход к радикально более гибкой архитектуре безопасности, чтобы защитить свои распределенные цифровые активы от атак в меняющейся среде угроз.

Целью CSMA является управление распределенными цифровыми активами и обеспечение доверия к ним. Она также призвана выступать в качестве интегрированной системы защиты кибербезопасности, которая позволяет обнаруживать участников угроз и реагировать на них гораздо раньше в цепочке кибератак. Это требует более глубокой и стандартизированной интеграции между отдельными инструментами с помощью таких стандартов, как Open Cybersecurity Schema Framework (OCSF) и Continuous Access Evaluation Profile (CAEP), которые были разработаны по образцу принципов CSMA.

По мере того как поставщики продолжают совершенствовать свои инструменты, позволяющие лучше использовать этот подход, ранее не связанные между собой компоненты могут интегрироваться более легко и глубоко. Это позволяет им действительно работать как интегрированная система систем, которые эффективны вместе. С каждым годом все больше мировых поставщиков адаптируются к этой архитектуре и объявляют об одном или нескольких предложениях для одного или нескольких уровней CSMA. Некоторые поставщики разрабатывают платформу целиком.

Этот цикл публикаций, по моему замыслу, направлен на технических специалистов в области безопасности и управления рисками. CSMA более эффективно использует сигналы и разведывательные данные для улучшения обнаружения и прогнозирования реагирования, а также может значительно повысить общую защиту. Использование принципов CSMA обеспечит организации возможность выявлять атаки на более ранних этапах своего жизненного цикла и принимать превентивные меры, опережая любые последствия, на основе анализа высококачественных поведенческих сигналов, полученных от продуктов integrated point. CSMA предоставляет возможности для принятия более обоснованных решений, основанных на оценке рисков.

Это также помогает масштабировать персонал, повышать эффективность процессов, снижать эксплуатационные расходы и повышать эффективность ваших технологий. Например, оно может объединять несколько сигналов для усиления аутентификации и запрета доступа неавторизованным пользователям и устройствам до того, как они смогут нанести какой‑либо ущерб. Это достигается за счет использования непрерывных сигналов более высокой точности.

Обнаружение EndPoints и реагирование на них (EDR) сами по себе, обычно, не позволяют обнаружить пользователя, использующего процессы на конечном хосте. Базовое управление идентификацией и доступом (IAM) не поможет, поскольку действительные учетные данные пользователя могут быть скомпрометированы. Secure service edge (SSE) и secure access service edge (SASE) не помогают, потому что они связаны с подключением. Объединение сигналов из этих точек с другими сигналами, например, от инструментов app sec, может привести к необычным изменениям в использовании PowerShell (PS) (например, функция PowerShell (PS), которая никогда ранее не использовалась данным пользователем/устройством/сетевым расположением).

CSMA стремится создать многомерное представление об аномальной активности, расширяя ситуационную осведомленность и комбинируя самые слабые сигналы для создания индикаторов поведения, которые при экстраполяции могут привести к нарушению в какой‑то момент в будущем.

Вы также можете рассматривать сетку как паутину. Когда что‑то попадает в паутину, паук точно знает, где, когда и что является добычей, и в то же время распознает ложные срабатывания. Благодаря сложной конструкции паутины, паук может быстро перепрыгнуть на нее и схватить добычу, основываясь на многочисленных сигналах, поступающих из сети. CSMA работает аналогичным образом, и все ваши средства безопасности работают в гармонии друг с другом. Инструменты не только выдают отдельные предупреждения, но и объединяют их в сеть с различными показателями и метриками, чтобы прогнозировать атаки или рекомендовать изменения конфигурации политики.

Для достижения этой цели давайте начнем с самого важного уровня CSMA: Уровня аналитики и анализа данных безопасности.

Архитектура CSMA является эволюционной, а не революционной. Она направлена на достижение множества бизнес‑результатов, таких как внедрение архитектуры с нулевым уровнем доверия, сокращение административных издержек и создание более эффективного решения, ориентированного на конечный результат, которое объединяет нескольких поставщиков, чтобы ваша служба безопасности была впереди злоумышленников.

CSMA удовлетворяет требованиям по значительному повышению уровня развертывания, эффективности и управляемости решений для обеспечения безопасности и идентификации. Ключевым аспектом подхода CSMA является то, что он не диктует конкретную архитектуру решения, а скорее допускает такие варианты, как в качестве платформ безопасности от одного поставщика, платформ с дополнениями к точечным решениям и распределенных точечных решений. Для этого подход включает в себя несколько принципов архитектуры, которые при совместном использовании позволяют разрабатывать решения, как показано на рисунке 1:

1. Распределение отдельных точек обеспечения соблюдения, принятия решений и политик, оптимизированных для защиты, обнаружения и реагирования в зависимости от типа актива или канала, такого как электронная почта или конечные точки.

2. Централизация определенных операций и функций управления более высокого порядка, которая создает общий интеллект с возможностями прогнозирования и уровнем политики, который поддерживает и расширяет возможности распределенных элементов.

3. Открытые архитектуры, которые обеспечивают взаимосвязь отдельных элементов с централизованными функциями и между самими отдельными элементами.

4. Стандартизация, такая как OCSF и CAEP, для повышения простоты интеграции между различными элементами.

Чем этот подход отличается от SIEM/XDR?

CSMA поддерживает повышение эффективности интеллектуальных данных, что позволяет гораздо быстрее блокировать и обнаруживать большее количество атак в цепочке атаки. Другими словами, CSMA обеспечивает сдвиг влево при обеспечении безопасности. Система управления информацией о безопасности и событиями (SIEM) и расширенное обнаружение и реагирование (XDR) по‑прежнему используются в качестве системы безопасности для обнаружения аномалий, которые не были обнаружены ранее. CSMA использует несколько уровней аналитики, а не полагается на один уровень. Такой распределенный подход к интеллекту встречается и в природе. У некоторых видов осьминогов девять видов мозга: большой мозг находится в голове, а меньшие — в каждом щупальце. Это позволяет осьминогам быстро реагировать на угрозы и возможности. Некоторые специалисты по обработке данных называют такой подход федеративным машинным обучением (ML). Этот распределенный подход к обучению и алгоритмам глубокого обучения быстро обрабатывает подмножество данных в источнике или вблизи него, без необходимости передавать их в центральное расположение.

Непрерывный адаптивный доступ, который блокирует множество попыток несанкционированной аутентификации, является формой федеративного машинного обучения. CSMA оценивает сигналы в виде предупреждений от средств обеспечения безопасности и идентификации, включая SIEM/XDR, а также сигналы, содержащие общую информацию об угрозах. Инструменты безопасности в SIEM, подходы к организации безопасности, автоматизация и реагирование (SOAR), XDR и другие категории постоянно развиваются. Это позволяет включить расширенную функциональность, поддержку большего количества готовых интеграций и более точную оценку рисков в рамках операционной деятельности. Эти инструменты также должны учитывать потоки поведенческих данных в режиме реального времени, поступающих из точечных продуктов, для создания сводки унифицированных показателей общего риска и динамических оценок рисков для объектов. Кроме того, они должны обеспечивать возможность прогнозирования возможных атак на основе сопоставления шаблонов с данными об угрозах.

Каждая из этих категорий инструментов играет важную роль в общей экосистеме безопасности программного обеспечения. Однако системы безопасности большинства организаций по‑прежнему чрезмерно фрагментированы, и их точки принятия решений не позволяют эффективно использовать все данные о рисках, хранящиеся в различных подразделениях организации, и извлекать из них выгоду. Другой серьезной проблемой является отсутствие доступа к контексту и данным, которые могли бы помочь количественно оценить риск или точно идентифицировать его с минимальными затратами времени.

CSMA — это перспективная архитектура, которая позволяет инструментам безопасности работать более эффективно как единое целое, а не как ряд точечных решений. Это предполагает создание централизованной системы анализа и принятия более точных прогнозов и решений, основанных на оценке рисков, в режиме реального времени, а также поддержку обратной связи для дальнейшего совершенствования процессов обеспечения безопасности.

А в следующих статьях мы поговорим о проблемах существующей архитектуры развертывания систем безопасности в организациях.