Кіберситуаційна обізнаність: створення дашборду захисту в реальному часі

Кіберситуаційна обізнаність (CyberSA) — це здатність командирів та операторів безпеки сприймати, розуміти та прогнозувати поточний стан кіберсередовища у тому, як воно впливає на військові операції. Це командна функція, а не просто функція безпекових операцій — відмінність важлива, оскільки вона визначає принципово різну філософію проектування для інструментів та дашбордів, що її підтримують.

Традиційний дашборд Центру безпекових операцій оптимізований для аналітиків безпеки: щільні черги сповіщень, детальні хронологічні часові лінії подій, робочі процеси розслідування. Дашборд CyberSA для командирів ЗСУ повинен представляти синтезований, дієвий статус: які системи під ризиком, які заходи вживаються, який операційний вплив поточної кіберактивності — усе у форматі, придатному для офіцера під тиском часу, який одночасно управляє іншими операційними доменами.

Що кіберситуаційна обізнаність означає для командирів

Модель ситуаційної обізнаності Ендслі — сприйняття, розуміння, проекція — безпосередньо відображається на проблемі CyberSA. Сприйняття — це збір необроблених даних: мережева телеметрія, події кінцевих точок, сповіщення SIEM, результати сканування вразливостей, потоки розвідки загроз. Розуміння — це синтез цих необроблених сигналів в цілісну картину поточного стану безпеки: що є нормальним, що аномальним, що є відомо поганим. Проекція — це форвардна оцінка: на основі поточного стану, що ймовірно станеться в наступні 15 хвилин, наступну годину, наступний день.

Командири потребують розуміння та проекції. Аналітики потребують також сприйняття. Дашборд CyberSA повинен обслуговувати обох, а конвеєр даних під ним повинен підтримувати обидва рівні абстракції одночасно.

Джерела даних: побудова стека сенсорів

Мережева телеметрія є джерелом даних реального часу з найвищою точністю для CyberSA. Повне захоплення пакетів у точках перетину, записи NetFlow/IPFIX від мережевої інфраструктури та журнали DNS-запитів разом забезпечують всебічний огляд того, що з чим комунікує. Мережева телеметрія є першоджерелом правди для виявлення бокового руху, ексфільтрації даних та комунікацій командування та управління.

Інтеграція потоків CTI додає рівень контексту: відома шкідлива інфраструктура, відомі патерни TTP загрозливих акторів, останні індикатори кампаній. Платформа CyberSA, що може автоматично корелювати мережеву телеметрію з живим потоком CTI та виявляти збіги в реальному часі, забезпечує якісно кращу ситуаційну обізнаність, ніж та, що оперує лише на телеметрії.

Сповіщення SIEM забезпечують оброблений рівень виявлення: події, що вже пройшли через правила кореляції та перевищують поріг сповіщення. Сповіщення SIEM не є реальним часом у тому ж сенсі, що телеметрія — є затримка обробки та збагачення 30 секунд до кількох хвилин — але вони мають набагато вищі відношення сигнал-шум та є відповідними для рівня дашборду командира.

Архітектура дашборду: потокова обробка та агрегація

Обсяги даних у CyberSA реального часу вимагають архітектури потокової обробки, а не пакетної. Kafka є стандартним брокером повідомлень для цього типу архітектури: джерела журналів публікують події в теми Kafka, а двигуни потокової обробки (Kafka Streams для простих трансформацій; Apache Flink для складної обробки подій та операцій із збереженням стану) споживають ці теми, застосовують логіку збагачення та агрегації та публікують результати в нижні споживачі.

Рівень сповіщень використовує порогові та аномальні тригери на потоці. Порогові тригери спрацьовують, коли метрика перетинає попередньо визначене значення. Аномальні тригери спрацьовують, коли метрика значно відхиляється від свого статистичного базового рівня. Обидва типи тригерів публікують в рівень управління інцидентами та опціонально на рівень автоматизації SOAR.

Фізично-кіберна інтеграція: накладення інцидентів на операційну карту

Найцінніша функція платформи CyberSA для військових — і та, що найбільш чітко відрізняє її від комерційного SOC — це здатність накладати кіберінциденти на операційну карту. Кіберінтрузія, що впливає на систему управління логістикою, є більш або менш серйозною залежно від того, які підрозділи вона підтримує. Атака відмови в обслуговуванні проти комунікаційного ретранслятора є більш або менш серйозною залежно від того, які оперативні елементи залежать від цього ретранслятора.

Для технічної реалізації потрібна база даних управління конфігурацією (CMDB), що зберігає як кіберні атрибути кожного активу (IP-адреса, функція системи, інвентаризація програмного забезпечення, статус вразливості), так і його фізично-оперативні атрибути (місцезнаходження, підтримуваний підрозділ, оперативна критичність).

UX сортування сповіщень: проектування для операторів під тиском часу

Втома від сповіщень є основним режимом відмови дашбордів безпеки в оперативних середовищах. Дизайн дашборду CyberSA повинен мати чітку думку щодо ранжування серйозності та робити елементи найвищої серйозності неможливими пропустити.

Класифікація серйозності повинна бути автоматизована та базуватися на операційному впливі, а не лише на технічній серйозності. Вразливість середньої серйозності в системі управління боєм є оперативно більш критичною, ніж вразливість високої серйозності на адміністративній робочій станції.

Дії реагування одним клацанням зменшують когнітивне навантаження для операторів під тиском часу, попередньо обчислюючи відповідну відповідь для кожного типу сповіщення та представляючи її як єдину кнопку. Оператор переглядає контекст сповіщення та рекомендовану дію, схвалює її, і рівень автоматизації SOAR виконує відповідь.