Prototyp aplikace pro rychlé vyšetřování bezpečnostních incidentů

Abstract

Analytici kybernetické bezpečnosti čelí velké výzvě, když vyšetřují bezpečnostní incidenty, ke kterým došlo v jejich podnikové síti. Velké množství dat je shromažďováno do platforem SIEM (software pro management bezpečnostních informací a událostí) a další značné sady dat jsou dostupné od třetích stran. Protože jsou lidské zdroje velmi limitované a informací je příliš mnoho na to, aby byly zpracovány manuálně, je zapotřebí mít systém, který by usnadnil vyšetřování incidentů. Současná komerční řešení mohou být vázána na konkrétní softwarové nástroje, požadují normalizaci vstupních dat, a navíc jsou pro jistou část analytiků cenově nedostupná. Provedli jsme kvalitativní výzkum s pěti analytiky, kteří se specializují na vyšetřování incidentů, a zjistili jsme, jaké jsou jejich potřeby. Na tomto základě jsme definovali případy použití a scénáře. Důraz byl kladen na sjednocení potřebných funkcí do jednotného řešení, a také na dostupnost znalostí z více zdrojů na jednom místě. Zaobírali jsme se i funkcemi, které umožňují spolupráci a sdílení znalostí. Vše jsme zohlednili v časném papírovém modelu, na který jsme sebrali zpětnou vazbu. Na základě analýzy jsme navrhli low-fidelity prototyp, který jsme předvedli pěti analytikům. Jejich hodnocení jsme promítli do další fáze, ve které jsme převedli vybrané prvky do high-fidelity prototypu. High-fidelity prototyp jsme nechali ohodnotit šesti analytiky. Na závěr jsme sepsali nápady, jak bychom vylepšili prototyp v budoucích krocích.

Cybersecurity analysts face a great challenge when investigating security incidents which happened within their corporate computer network. A vast amount of data is typically being collected into SIEM (Security Information and Event Management) platforms and another huge set of data is available from third parties. There is a need of a system, which would make the investigation of incidents easier, as the human resources of security teams are very limited, and the amount of information is too huge to be handled manually. Current commercial solutions may be tied to a specific software stack, they require normalization of input data and they are too expensive for a certain segment of analysts. We conducted a qualitative research with five analysts specialized on incident investigation and found out their needs. Based on those, we defined use-cases and scenarios. Focus was on the unification of needed functions under a single solution, as well as providing knowledge from more sources in one place. Moreover, we discussed features allowing collaboration and knowledge sharing. Those were projected into paper mock-ups and we collected feedback. Based on the analysis, we designed a low-fidelity prototype and presented it to five analysts. Their evaluation was reflected in the next stage, where we transformed a subset of selected features into a high-fidelity prototype. We collected feedback on the high-fidelity prototype from six analysts. Finally, we wrote down ideas how the prototype could be improved in the future.