Окно Джохари и методы обнаружения угроз для SOC

SecOps
В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие. В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны: Открытая, Слепая, Спрятанная и Неизвестная:
  • В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие.
  • В спрятанной зоне находятся качества, известные человеку, но неизвестные окружающим.
  • В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку.
  • В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим.
Используемое обычно для саморазвития «окно Джохари» может быть применено и в области обнаружения вредоносной активности, в деятельности Security Operations Center.
Идея применения «окна Джохари» очень проста. Если посмотреть на картинку выше, то мы увидим, что обычно в ИБ мы имеем дело с открытой зоной — когда все всем известно. Это как раз то, что хорошо описывается известными индикаторами компрометации, о которых я писал вчера. Они известны аналитикам, они известны и злоумышленникам, которые могут попытаться модифицировать свои действия, чтобы не попасть под известный индикатор.

Пробелы в организации системы защиты (нехватка логов, плохо организованные процессы, отсутствие интеграции между средствами защиты, отсутствие или плохо настроенная система корреляции, а также ошибки первого и второго рода) приводят к тому, что аналитик SOC не видит отдельных событий, а то и инцидентов безопасности.

Спрятанная зона дает аналитику преимущество, так как он знает то, чего не знают другие (те же самые злоумышленники) — состояние инвентаризации активов, контекст, эталонное поведение сети, пользователей и процессов, а также результаты анализа всей совокупности данных ИБ.

Неизвестная зона — это проблема проблем в ИБ. Очень хорошо ее озвучил бывший министр обороны США Дональд Рамсфельд: «Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их«. В ИБ таких событий огромное количество. Это и 0-Days, по которым в прошлой заметке я призывал не напрягаться, так как мы все равно не способны повлиять на их присутствие или отсутствие. Это и события, для которых еще нет сигнатур или иных решающих правил.

Для того, чтобы эффективно бороться с угрозами, аналитик SOC должен расширить открытую и сузить все остальные зоны. Для такого сужения необъодимо применения различных технологий и инструментов, которые позволяют видеть то, что ранее оставалось за пределами и средств защиты, и систем управления событиями безопасности, и SOC.


Опираясь на «окно Джохари» и то, что видит аналитик SOC с помощью имеющихся у него возможностей, можно говорить о зрелости или поколениях SOC. Но об этом уже в другой заметке…
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.