Det er måske ikke rimeligt at sige, at hændelsesrespons (IR) er essensen af en virksomheds cybersikkerhedsstrategi, men det er, hvad alt andet bygger hen imod. Den største modstander af IR er dog ikke så mange angribere, som det er på tide.
De onde, ofte hjulpet af machine learning (især i stats-aktør-angreb), er ultrafokuserede. Cyberangribere har i dag en præcis angrebsplan. Typisk vil de være parate til at stjæle det, de leder efter - eller at beskadige systemer - på få minutter og derefter hurtigt forlade systemet.
Selvom nogle angribere foretrækker et snigende middel, der installerer malware og overvåger netværksaktivitet i potentielt måneder, bruger mange af de mest grimme kriminelle i dag en hit-and-run-tilgang. Det betyder, at en IR-plan skal identificere, hvad der foregår, låse ultrafølsomme systemer ned og fange angriberen på et øjeblik. Hastighed er måske ikke alt, men det er tæt på.
Det, der komplicerer det nuværende IR-miljø, er det faktum, at trusselslandskaber for virksomheder er blevet eksponentielt mere komplekse i de senere år, især med hensyn til at være porøse såvel som at give skurke langt flere steder at gemme sig. Ud over WAN- og virksomhedssystemerne er der de krympende – men stadig relevante – lokale systemer, et stort antal skymiljøer (både kendte og ukendte), IoT/IIoT, partnere med langt større adgang, hjemmekontorer med usikre LAN'er, bilflåder med deres egen dataopbevaring og IP-adresser, mobile enheder med fulde legitimationsoplysninger (ofte ejet af medarbejdere, hvilket giver anledning til flere sikkerhedsproblemer) , og SaaS-apps, der hostes i systemer med deres egne ukendte huller.
Når alt dette sker, kan sikkerhedsoperationscentret (SOC) have få minutter til at identificere og håndtere et brud.
Det største CISO-problem med IR er mangel på forberedelse, og den største IR-virksomhedssvaghed i dag er grundlæggende. De bedste processer til IR begynder med parathed ved at opbygge en solid organisatorisk trusselsmodel og forene trusselsbiblioteket af ting, der kan påvirke virksomheden negativt, med en tilpasning til de forebyggende, detektive og reaktive kontroller, der er til stede mod angrebsoverfladen af den trusselsmodel . Anvendelse af automatisering via sikkerhedsorkestrerings-, automatiserings- og responsteknologier (SOAR) er blevet yderst nyttig til at reducere svartider og være i stand til at udnytte playbooks, der udløses, når bestemte definerede betingelser er opfyldt i det tekniske miljø.
Tjek kortet
Et af de mest kritiske grundlæggende elementer er at arbejde ud fra et aktuelt, nøjagtigt og omfattende datakort. Problemet er, at nutidens miljøer gør det umuligt at have et virkelig komplet datakort.
Overvej mobil faktor alene. Medarbejdere og entreprenører skaber konstant ny intellektuel ejendom (en række e-mails eller tekster, for eksempel mellem en sælger og en kunde eller kundeemne) via mobile enheder og synkroniserer derefter ikke disse oplysninger med centraliserede systemer styret af it.
Fordi det er umuligt at beskytte det, du ikke ved eksisterer, er det afgørende at generere et så nøjagtigt datakort som muligt. Det ville ikke skade også at øge synligheden af alle værktøjer, platforme, hardware/enheder (især IoT) og alt andet, som en angriber kan undergrave.
Continuous Attack Surface Management (CASM) har været et voksende område af sikkerhedsaktiviteter, som virksomheder skal modnes for at sikre, at edge-enheder, især dem, der er IoT-enheder, der kan have direkte adgang til edge-gatewayen, er tilstrækkeligt beskyttet med detektivkontroller.
Du skal starte med traditionelle asset management strategier, identificere alle komponenter og spore alle aktiver, uanset om de er i et stativ et eller andet sted eller i en colocation. For mange virksomheder er der ingen helhed, ingen ordentlig styring. De skal matche aktiver og data med hver branche for at udtænke bæredygtighed for den pågældende LOB. De skal finde ud af alt fra IoT-enheder til tredjepartsleverandørsoftware. Der er så mange ting, der ofte findes under radaren. Hvad er økosystemet for hver eneste produktlinje?
Den lodrette dimension
Ud over det skal en virksomhed, angrebsflade og trusselslandskab identificeres for alle vertikaler, hvor maskinen opererer, og ofte skal den bore ind i alle underbrancher. Det fremtvinger en streng evaluering af, hvilken trusselsintelligens der bliver brugt.
For branche-/vertikale data betyder det at integrere informationsdeling og analysecentre (ISAC'er) sammen med open source-advarsler, leverandørmeddelelser, Cybersecurity and Infrastructure Security Agency (CISA) og (National Vulnerability Database (NVD) og mange andre, sang med interne SIEM-data.
Men al den trusselsinformation er stærk før en hændelse. Når først et angreb begynder, og SOC-personalet aktivt forsvarer sig selv, kan trusselsinformation nogle gange vise sig at være mere en distraktion end en hjælp. Det er fantastisk før såvel som efter angrebet, men ikke under.
Virksomheder underminerer ofte deres IR-hastighed og effektivitet ved ikke at give SOC-teamet tilstrækkelig adgang samt information. For eksempel inkluderer revisionslogfiler ofte IP-adresserne på berørte enheder, men nogle logfiler viser kun en intern NAT-adresse, og SOC-personalet kunne ikke nemt og hurtigt kortlægge offentlige IP-adresser til NAT IP-adresser. Det tvang SOC-teamet - under en nødsituation - til at nå ud til netværksinfrastrukturteamet.
Har SOC-teamet adgang til alle cloud-miljøer? Er de opført som kontakter for alle colocation- og cloud-supportmedarbejdere?
Det er almindeligt for sikkerhedsfolk at bruge militære analogier - især krigsreferencer - når de beskriver hændelsesresponsstrategier. Desværre er disse analogier mere passende, end jeg ville ønske. Angribere i dag bruger top-end machine learning-systemer og er nogle gange økonomisk støttet af nationalstater. Deres systemer er ofte mere robuste og moderne end hvad virksomheder bruger til forsvar. Det betyder, at nutidens IR-strategier skal bruge ML-værktøjerne til at følge med. Angriberne har deres metoder timet til det andet, og de ved, at de skal komme ind, gøre deres skade, eksfiltrere deres filer og komme hurtigt ud. CISO'er skal i dag opdage og blokere på endnu kortere tid.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- :har
- :er
- :ikke
- $OP
- a
- I stand
- adgang
- præcis
- aktivt
- aktiviteter
- aktivitet
- adresse
- adresser
- tilstrækkeligt
- negativt
- påvirke
- Efter
- mod
- agentur
- indberetninger
- Alle
- alene
- sammen
- også
- an
- analyse
- ,
- og infrastruktur
- enhver
- tilgang
- apps
- APT
- ER
- OMRÅDE
- AS
- aktiv
- formueforvaltning
- Aktiver
- angribe
- Angreb
- revision
- Automation
- Backed
- Bad
- BE
- bliver
- været
- før
- begynde
- være
- jf. nedenstående
- BEDSTE
- mellem
- Beyond
- Største
- Bloker
- både
- brud
- Bygning
- virksomhed
- men
- by
- CAN
- center
- Centers
- centraliseret
- centraliserede systemer
- vis
- CISA
- CISO
- Luk
- Cloud
- Fælles
- Virksomheder
- selskab
- fuldføre
- komplekse
- komponenter
- omfattende
- Bekymringer
- betingelser
- konstant
- kontakter
- entreprenører
- kontrolleret
- kontrol
- kunne
- Oprettelse af
- Legitimationsoplysninger
- Kriminelle
- kritisk
- Nuværende
- kunde
- Cybersecurity
- Agentur for cybersikkerhed og infrastruktur
- data
- Database
- deal
- Forsvar
- Forsvar
- definerede
- Enheder
- direkte
- Direkte adgang
- Skærm
- Don
- ned
- i løbet af
- hver
- nemt
- økosystem
- Edge
- effektivitet
- elementer
- emails
- nødsituation
- medarbejdere
- sikre
- Enterprise
- virksomheder
- Miljø
- miljøer
- især
- Essensen
- evaluering
- Endog
- Hver
- at alt
- udviklende
- eksempel
- eksisterer
- Udgang
- eksponentielt
- retfærdig
- få
- Figur
- Filer
- økonomisk
- Til
- Forces
- fra
- fuld
- gateway
- generere
- få
- Give
- gå
- regeringsførelse
- stor
- større
- Happening
- Have
- have
- hjælpe
- Skjule
- stærkt
- Huller
- Home
- hostede
- Men
- HTTPS
- Hurt
- i
- identificeret
- identificere
- identificere
- umuligt
- in
- hændelse
- hændelsesrespons
- omfatter
- Forøg
- oplysninger
- Infrastruktur
- Integration
- Intel
- intellektuel
- intellektuel ejendomsret
- Intelligens
- interne
- ind
- tingenes internet
- iot-enheder
- IP
- IP-adresser
- IT
- selv
- jpg
- Holde
- Kend
- kendt
- Mangel
- landskab
- stor
- læring
- Leverage
- Bibliotek
- Line (linje)
- Børsnoterede
- leder
- maskine
- machine learning
- lave
- malware
- ledelse
- mange
- kort
- Match
- modne
- Kan..
- midler
- metoder
- Militær
- minutter
- ML
- Mobil
- mobilenheder
- model
- Moderne
- Moments
- måned
- mere
- mest
- national
- Behov
- netværk
- Ny
- meddelelser
- nummer
- of
- kontorer
- on
- ONE
- kun
- åbent
- open source
- opererer
- Produktion
- or
- orkestrering
- organisatorisk
- Andre
- egen
- ejede
- især
- partnere
- Mennesker
- Steder
- fly
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- potentielt
- vigtigste
- brug
- foretrække
- forberedt
- præsentere
- Problem
- Processer
- Produkt
- passende
- ejendom
- udsigten
- beskytte
- beskyttet
- Bevise
- offentlige
- hurtigt
- radar
- hæve
- RE
- nå
- Readiness
- nylige
- reducere
- referencer
- Uanset
- relevant
- svar
- tilbageholdelse
- robust
- s
- SaaS
- salg
- Anden
- sikkerhed
- Sikkerhedsoperationer
- Series
- deling
- So
- Software
- solid
- nogle
- et eller andet sted
- Kilde
- hastighed
- Personale
- starte
- Stadig
- strategier
- Strategi
- streng
- tilstrækkeligt
- support
- overflade
- Bæredygtighed
- systemet
- Systemer
- hold
- Teknisk
- Teknologier
- vilkår
- end
- at
- deres
- Der.
- de
- ting
- tredjepart
- dem
- trussel
- trussel intelligens
- tid
- Tidsindstillet
- gange
- til
- i dag
- også
- værktøjer
- mod
- Sporing
- traditionelle
- udløst
- typisk
- Underminere
- brug
- anvendte
- ved brug af
- køretøj
- sælger
- vertikaler
- via
- synlighed
- sårbarhed
- krig
- ure
- Svaghed
- web
- GODT
- Hvad
- Hvad er
- hvorvidt
- som
- vilje
- med
- arbejder
- år
- dig
- zephyrnet
