Das wirre Netz der IR-Strategien

Das wirre Netz der IR-Strategien

Zeitstempel: 21. April 2023, 10:00 Uhr
Quellknoten: 2599231

Es ist vielleicht nicht fair zu sagen, dass Incident Response (IR) die Essenz der Cybersicherheitsstrategie eines Unternehmens ist, aber alles andere ist darauf ausgerichtet. Der größte Gegner von IR sind jedoch weniger Angreifer als Zeit.

Die bösen Jungs, oft unterstützt von Maschinelles Lernen (insbesondere bei Angriffen staatlicher Akteure) sind ultrafokussiert. Cyberangreifer haben heute einen genauen Angriffsplan. Typischerweise sind sie darauf vorbereitet, das Gesuchte innerhalb weniger Minuten zu stehlen – oder Systeme zu beschädigen – und das System dann schnell zu verlassen.

Obwohl einige Angreifer ein heimliches Mittel bevorzugen, das Malware installiert und Netzwerkaktivitäten möglicherweise monatelang überwacht, verwenden viele der schlimmsten Kriminellen heute einen Hit-and-Run-Ansatz. Das bedeutet, dass ein IR-Plan identifizieren muss, was vor sich geht, hochsensible Systeme sperren und den Angreifer in wenigen Augenblicken fangen. Geschwindigkeit ist vielleicht nicht alles, aber es ist nah dran.

Die aktuelle IR-Umgebung wird durch die Tatsache kompliziert, dass die Bedrohungslandschaften von Unternehmen in den letzten Jahren exponentiell komplexer geworden sind, insbesondere in Bezug auf ihre Durchlässigkeit und die Tatsache, dass sie Angreifern viel mehr Verstecke bieten. Neben den WAN- und Unternehmenssystemen gibt es eine große Anzahl von schrumpfenden – aber immer noch relevanten – On-Premises-Systemen Cloud-Umgebungen (sowohl bekannte als auch unbekannte), IoT/IIoT, Partner mit viel größerem Zugriff, Heimarbeitsplätze mit unsicheren LANs, Fahrzeugflotten mit eigener Datenspeicherung und IP-Adressen, mobile Geräte mit vollständigen Anmeldeinformationen (häufig im Besitz von Mitarbeitern, die mehr Sicherheitsbedenken aufwerfen) , und SaaS-Apps, die in Systemen mit eigenen unbekannten Lücken gehostet werden.

Bei all dem hat das Security Operations Center (SOC) möglicherweise nur wenige Minuten Zeit, um eine Sicherheitsverletzung zu identifizieren und zu beheben.

Das größte CISO-Problem mit IR ist mangelnde Vorbereitung, und die größte IR-Unternehmensschwäche ist heute grundlegend. Die besten IR-Prozesse beginnen mit der Bereitschaft durch den Aufbau eines soliden organisatorischen Bedrohungsmodells und den Abgleich der Bedrohungsbibliothek von Dingen, die sich nachteilig auf das Unternehmen auswirken könnten, mit einer Ausrichtung darauf, welche präventiven, aufdeckenden und reaktiven Kontrollen gegen die Angriffsfläche dieses Bedrohungsmodells vorhanden sind . Der Einsatz von Automatisierung über SOAR-Technologien (Security Orchestration, Automation, and Response) hat sich als äußerst nützlich erwiesen, um Reaktionszeiten zu verkürzen und Playbooks zu nutzen, die ausgelöst werden, wenn bestimmte definierte Bedingungen in der technischen Umgebung erfüllt werden.

Überprüfen Sie die Karte

Eines der wichtigsten Grundelemente ist die Arbeit mit einer aktuellen, genauen und umfassenden Datenkarte. Das Problem ist, dass die heutigen Umgebungen es unmöglich machen, eine wirklich vollständige Datenkarte zu haben.

Betrachten Sie die mobiler Faktor allein. Mitarbeiter und Auftragnehmer erstellen ständig neues geistiges Eigentum (z. B. eine Reihe von E-Mails oder Textnachrichten zwischen einem Vertriebsmitarbeiter und einem Kunden oder Interessenten) über mobile Geräte und synchronisieren diese Informationen dann nicht mit zentralisierten Systemen, die von der IT gesteuert werden.

Da es unmöglich ist, etwas zu schützen, von dem Sie nicht wissen, dass es existiert, ist es von entscheidender Bedeutung, eine möglichst genaue Datenkarte zu erstellen. Es würde nicht schaden, auch die Sichtbarkeit aller Tools, Plattformen, Hardware/Geräte (insbesondere IoT) und alles andere, was ein Angreifer untergraben könnte, zu erhöhen.

Continuous Attack Surface Management (CASM) ist ein sich entwickelnder Bereich von Sicherheitsaktivitäten, den Unternehmen ausreifen müssen, um sicherzustellen, dass Edge-Geräte, insbesondere solche, die IoT-Geräte sind, die möglicherweise direkten Zugriff auf das Edge-Gateway haben, durch detektive Kontrollen angemessen geschützt sind.

Sie müssen mit traditionellen Asset-Management-Strategien beginnen, alle Komponenten identifizieren und alle Assets verfolgen, unabhängig davon, ob sie sich irgendwo in einem Rack oder in einer Colocation befinden. Für zu viele Unternehmen gibt es keine Vollständigkeit, keine angemessene Governance. Sie müssen Vermögenswerte und Daten mit jedem Geschäftsbereich abgleichen, um die Nachhaltigkeit für diesen LOB zu planen. Sie müssen alles von IoT-Geräten bis hin zu Software von Drittanbietern herausfinden. Es gibt so viele Dinge, die oft unter dem Radar existieren. Was ist das Ökosystem für jede einzelne Produktlinie?

Die vertikale Dimension

Darüber hinaus müssen ein Unternehmen, eine Angriffsfläche und die Bedrohungslandschaft für alle Branchen identifiziert werden, in denen die Maschine tätig ist, und oft muss sie in alle Unterbranchen vordringen. Dies erzwingt eine strenge Bewertung der verwendeten Bedrohungsinformationen.

Für Branchen-/Branchendaten bedeutet dies die Integration von Informationsaustausch- und Analysezentren (ISACs) zusammen mit Open-Source-Warnungen, Anbieterbenachrichtigungen, der Cybersecurity and Infrastructure Security Agency (CISA) und der (National Vulnerability Database (NVD) und vielen anderen, Lied mit interne SIEM-Daten.

Aber all diese Bedrohungsinformationen sind vor einem Vorfall mächtig. Sobald ein Angriff beginnt und sich das SOC-Personal aktiv verteidigt, können sich Bedrohungsinformationen manchmal eher als Ablenkung denn als Hilfe erweisen. Es ist sowohl vor als auch nach dem Angriff großartig, aber nicht während.

Unternehmen unterminieren häufig ihre IR-Geschwindigkeit und -Effektivität, indem sie dem SOC-Team nicht genügend Zugang und Informationen gewähren. Beispielsweise enthalten Prüfprotokolle häufig die IP-Adressen betroffener Geräte, aber einige Protokolle zeigen nur eine interne NAT-Adresse an, und SOC-Mitarbeiter konnten öffentliche IP-Adressen nicht einfach und schnell NAT-IP-Adressen zuordnen. Das zwang das SOC-Team – während eines Notfalls – sich an das Netzwerkinfrastrukturteam zu wenden.

Hat das SOC-Team Zugriff auf alle Cloud-Umgebungen? Sind sie als Ansprechpartner für alle Colocation- und Cloud-Supportmitarbeiter aufgeführt?

Es ist üblich, dass Sicherheitsleute militärische Analogien – insbesondere Kriegsreferenzen – verwenden, wenn sie Strategien zur Reaktion auf Vorfälle beschreiben. Leider sind diese Analogien treffender, als ich mir wünschen würde. Angreifer verwenden heute maschinelle Lernsysteme der Spitzenklasse und werden manchmal von Nationalstaaten finanziell unterstützt. Ihre Systeme sind oft robuster und moderner als die, die Unternehmen zur Verteidigung einsetzen. Das bedeutet, dass die heutigen IR-Strategien die ML-Tools verwenden müssen, um Schritt zu halten. Die Methoden der Angreifer sind auf die Sekunde genau abgestimmt, und sie wissen, dass sie reinkommen, Schaden anrichten, ihre Dateien exfiltrieren und schnell wieder raus müssen. CISOs müssen heute in noch kürzerer Zeit erkennen und blockieren.

Zeitstempel:

Mehr von Dunkle Lektüre