Làm thế nào dịch tễ học có thể giải quyết vấn đề người dân trong an ninh.
Giống như nhiều người khác, tôi xen kẽ giữa nỗi ám ảnh nhẹ về việc tìm hiểu mọi thứ về COVID-19 và không bao giờ muốn nghe về nó nữa. Gần đây tôi đã xem thống đốc bang Massachusetts trên CBS News ' Đối mặt với quốc gia. Anh ấy đã nói về Đối tác trong lĩnh vực y tếcủa tôi về việc sử dụng phương pháp truy tìm dấu vết tiếp xúc ở các quốc gia bị ảnh hưởng bởi Ebola và virus Zika, và sau đó nói điều gì đó khiến tôi ấn tượng: “Đó không phải là lý thuyết. Họ đã làm điều đó trước đây. Họ biết cách làm điều đó.” Tin nhắn của anh ấy là: Nó hoạt động.
Tôi bắt đầu đọc về cách thức hoạt động của việc theo dõi liên lạc đối với các đợt bùng phát như Ebola và nghiên cứu những gì các nước khác đang làm. Tại Israel, Bộ Y tế đã phát hành một ứng dụng sử dụng dữ liệu GPS di động để đưa ra cảnh báo khi những người ở gần được ghi nhận là người mang mầm bệnh COVID-19. Trong khu vực tư nhân, Google và Apple đã phát triển một ứng dụng theo dõi liên lạc cho hàng tỷ người trên toàn thế giới sử dụng iOS và Android.
Tổ chức Y tế Thế giới (WHO) mô tả quy trình ba bước để truy tìm dấu vết tiếp xúc: ID liên hệthì Liệt kê (điều tra những cá nhân có trường hợp được xác nhận đã tiếp xúc) và cuối cùng, Theo dõi. Tôi chợt nhận ra rằng điều này giống một cách kỳ lạ với những gì tôi đã làm trong sự nghiệp phân tích thông tin của mình.
Xác định
Các nhà phân tích thông tin về mối đe dọa sử dụng bất kỳ công cụ nào để xác định mối đe dọa, cùng với các công cụ bổ sung để lưu trữ các chỉ báo này. Theo truyền thống, các nhà phân tích sử dụng bảng tính và tài liệu Word của riêng họ làm không gian làm việc sống động hoặc bảng ghi chép để bắt đầu điều tra. Khi họ cộng tác với những người khác trong tổ chức, có một lượng lớn thông tin được cắt và dán từ công cụ này sang công cụ khác. Các nhà phân tích chuyển từ TIP sang SIEM sang tin nhắn tức thời tới email để thu thập và kết hợp các phân tích lại với nhau. Nghe có vẻ điên rồ, nhưng đây chính là cách mà các doanh nghiệp “chuyển đổi kỹ thuật số” hiện đại vẫn đang xác định và theo dõi các mối đe dọa ngày nay.
Liệt kê
Đây là nơi cuộc điều tra thực sự bắt đầu - truy tìm hoạt động của một kẻ độc hại. Chuyển từ tổng hợp các chỉ số sang phân tích, các nhà phân tích tự hỏi “dữ liệu cho chúng ta biết điều gì?” Thật không may, sự hợp tác trong và ngoài tổ chức bị phân tán. Việc chia sẻ thông tin đang diễn ra theo từng phần, trên nhiều công cụ, không có một chủ đề duy nhất cho mỗi cuộc điều tra. Sự cộng tác thực sự, với một bộ dữ liệu thống nhất, đơn giản là không xảy ra. Các nhà phân tích phải tìm ra cách riêng của mình để ghép lại “bức tranh lớn” và hình dung chính xác những gì đã xảy ra.
Theo dõi
Đây là nơi quy trình hoàn toàn bị phá vỡ đối với các nhà phân tích intel. Một mối đe dọa độc hại được phát hiện cách đây một tháng, đã được điều tra nội bộ và bị coi là cấp độ thấp, có thể tái xuất hiện như một phần của chiến dịch lớn hơn. Tuy nhiên, việc nắm bắt được cuộc điều tra mối đe dọa trước đó gần như là không thể vì các nhà phân tích sẽ cần phải tìm kiếm thông qua các công cụ và phương thức liên lạc khác nhau. “Chuỗi hành trình sản phẩm” dành cho ai biết cái gì và khi nào, cũng như cái gì được phân tích đầy đủ và cái gì bị bỏ sót, là không tồn tại. Ngoài chú thích sự kiện cuối cùng và một số chỉ báo có bối cảnh một phần, không có lịch sử kiến thức chung nào để xây dựng dựa trên đó. Về cơ bản, các đội phải bắt đầu lại quá trình phân tích của mình.
Việc theo dõi liên hệ để tìm mối đe dọa mà Intel tiết lộ
Mặc dù tôi rất ấn tượng với những gì tôi học được về sự thành công của việc theo dõi liên hệ với tư cách là một công cụ y tế công cộng, nhưng tôi lại có cảm giác khó chịu rằng trong lĩnh vực bảo mật, “theo dõi liên hệ” của chính chúng tôi cho thấy rằng các công cụ và quy trình của chúng tôi đã bị hỏng; nó không còn được chấp nhận từ quan điểm điều tra, quản lý rủi ro và đặc biệt là từ góc độ nguồn nhân lực. Những nhân viên có năng lực cao, có tay nghề cao và nói thẳng ra là đắt giá vẫn đang hoạt động trong các hầm chứa, bị mắc kẹt trong vùng đất của hàng nghìn công cụ, khả năng chia sẻ thông tin hạn chế và không có phương tiện để cộng tác thực sự. Điều này chỉ làm tăng rủi ro cho doanh nghiệp khi mở rộng điều tra và làm thất vọng tất cả những người liên quan.
Làm thế nào chúng ta có thể giải quyết vấn đề con người trong lĩnh vực bảo mật khi đây là môi trường mà chúng ta đã tạo ra cho những nguồn lực đắt đỏ, giàu kinh nghiệm nhất của mình? Cũng giống như với bằng chứng pháp y, hãy bắt đầu bằng cách đánh giá khả năng doanh nghiệp của bạn trong việc duy trì “chuỗi hành trình sản xuất” phân tích. Hãy tự hỏi mình những câu hỏi sau đây:
● Phân tích quá khứ tồn tại ở đâu?
● Tổ chức của chúng tôi có thể trả lời một cách hợp lý “ai biết cái gì và khi nào” để hỗ trợ thông tin tình báo cho các cuộc điều tra không?
● Sự hợp tác giữa các nhóm diễn ra ở đâu? Liệu nó có hỗ trợ dễ dàng tính liên tục của kiến thức khi mọi người tham gia và rời khỏi các cuộc điều tra và các đội không?
Nếu bạn thấy mình không thể trả lời những câu hỏi này một cách tự tin, hãy bắt đầu từ việc nhỏ. Thảo luận và ghi lại quy trình về cách thực hiện phân tích nhiều người. Xác định và sử dụng một vị trí duy nhất để lưu trữ tập trung phân tích - lý tưởng nhất là vị trí có thể dễ dàng tìm kiếm. Hãy chắc chắn rằng điều này bao gồm các ghi chú và chỉ số đương thời của các nhà phân tích vì chúng có thể hữu ích trong các cuộc điều tra trong tương lai. Cuối cùng là luyện tập. Yêu cầu một nhà phân tích cố gắng tạo lại công việc của một nhà phân tích khác và đánh giá xem những lỗ hổng trong tài liệu, quy trình hoặc quyền truy cập vào các nguồn thông tin có thể nằm ở đâu. Theo thời gian, hãy cải thiện điều này bằng cách tập trung vào hiệu quả và tính đầy đủ của phân tích.
Nội dung liên quan:
Doug Helton là giám đốc chiến lược và Phó Giám đốc Tình báo tại King & Union, một công ty an ninh mạng có trụ sở tại Alexandria, VA, đã xây dựng và thiết kế Avalon, nền tảng phân tích mạng đầu tiên trong ngành. Niềm đam mê hoạt động tình báo của ông bắt đầu như một dấu hiệu… Xem Full Bio
Đề nghị đọc:
Thông tin chi tiết
