Strokovnjaki za kibernetsko varnost smo si bili že zdavnaj enotni, da je v naši panogi edina stalnica sprememba. Razvijati smo začeli zaščitne platforme, ki so napredovale od rešitev, ki posnemajo varnostne zaščite v fizičnem svetu, do prilagodljivih in modularnih objektno usmerjenih modelov, ki uporabljajo umetno inteligenco in zmanjšujejo dejavnike odločanja, ki jih ljudje lahko obravnavajo.
SIEM je bil pomemben temeljni kamen sodobnih operacij kibernetske varnosti. Odprl je pot do centraliziranja in racionaliziranja toka incidentov, kar organizacijam omogoča, da vzpostavijo SOC in gradijo potek dela okoli toka incidentov.
Ker je bila količina dohodnih opozoril skozi čas podvržena vedno hitrejši stopnji rasti, so imele SOC-ekipe vedno več dela. Začelo se je pojavljati vedno več rezultatov »false positivov«, ki so povzročili zmedo in povečan obseg dela ter razkrili potrebo po takojšnjih ukrepih odzivanja, kar je pognalo naprej novo razvojno obdobje.
SOAR je bila naslednja generacija, ki je zapolnila vrzel potrebnega usklajevanja med operacijami do takrat že džungle varnostnih incidentov. SOAR je omogočil, da so se operacije samozavestno odzivale na incidente v času 24/7 in povezale vse toke med obstoječimi informacijskimi sistemi in varnostnimi kontrolami. Potreba po učinkoviti SOAR-rešitvi, ki je prilagojena poteku dela in potrebam po učinkovitosti velikih skupin analitikov, ki delajo v izmenah in preverjajo opozorila, triažirajo in sprejemajo odločitve, je bila opredeljena kot nujna.
Pojav avtomatizacije in procesov strojnega učenja je imel podoben učinek na številne panoge. Na področju finančnega trgovanja npr. je čas odziva na spremembe nanosekunda. V kibernetskem bojevanju sta se avtomatizacija in strojno učenje izrazila v dirki za zgodnje odkrivanje kibernetskih groženj. Iz očitnih razlogov pride do manjše škode, prej ko veste, da je nekaj narobe, in SOC se je zgradil na svoji zmožnosti, da prepozna in odpravi težavo, preden je škoda narejena.
V redno spreminjajočem se prizorišču kibernetskih groženj so nekatere platforme postale standardne, recimo SIEM in pozneje SOAR, pa vendar realnost, ki jo doživljamo danes, tako na napadalni kot obrambni strani potrebuje še dodatne sisteme, ki se skrivajo za kratico XDR in delujejo po modelu tržnice, kjer se nahajajo orodja, ki služijo ciljem odkrivanja varnostnih groženj že v najzgodnejši fazi.
Razširjeno odkrivanje in odziv (XDR) je »orodje za odkrivanje varnostnih groženj, ki ima integriran antivirus naslednje generacije (NGAV), varnostno rešitev za zaščito končnih postaj (EDR), analitiko obnašanja uporabnikov (UBA), analitiko stanja omrežja (NTA), nastavljanje pasti napadalcem (Deception), in če tu vključimo avtomatizirane odzive (samodejne preiskave, samodejna sanacija, prilagojeni postopki odprave napak), prestrezanje groženj (Threat Hunting) in aktivno spremljanje (Alert Monitoring), dobimo zadnjo oziroma najnaprednejšo generacijo kibernetske zaščite.
V enem desetletju smo tako že v tretji evolucijski fazi in v naslednjih letih lahko pričakujemo še četrto. Skratka, kot sem že napisal: »Edina stalnica je sprememba«.
