IR-strategioiden sotkuinen verkko

Ei ehkä ole reilua sanoa, että välikohtausvastaus (IR) on yrityksen kyberturvallisuusstrategian ydin, mutta se on se, mitä kaikki muu rakentaa. IR:n suurin vastustaja ei kuitenkaan ole niin paljon hyökkääjät kuin aika.

Pahikset, usein apunaan koneoppiminen (etenkin valtion toimijoiden hyökkäyksissä) ovat erittäin keskittyneitä. Nykyään kyberhyökkääjillä on tarkka hyökkäyssuunnitelma. Tyypillisesti he ovat valmiita varastamaan etsimäänsä - tai vahingoittamaan järjestelmiä - muutamassa minuutissa ja poistumaan sitten nopeasti järjestelmästä.

Vaikka jotkut hyökkääjät pitävät parempana salaista keinoa, joka asentaa haittaohjelmia ja tarkkailee verkkotoimintaa mahdollisesti kuukausien ajan, monet tämän päivän ilkeimmistä rikollisista käyttävät osuma ja juokse -menetelmää. Tämä tarkoittaa, että IR-suunnitelman on tunnistettava, mitä tapahtuu, lukittava ultraherkät järjestelmät ja vangittava hyökkääjä hetkessä. Nopeus ei ehkä ole kaikki kaikessa, mutta se on lähellä.

Nykyistä IR-ympäristöä mutkistaa se, että yritysten uhkien maisemat ovat muuttuneet räjähdysmäisesti monimutkaisemmiksi viime vuosina, erityisesti sen huokoisuuden vuoksi, että pahiksien piilopaikka on paljon enemmän. WAN- ja yritysjärjestelmien lisäksi on olemassa kutistuvat – mutta silti merkitykselliset – paikalliset järjestelmät, suuri määrä pilviympäristöt (sekä tunnetut että tuntemattomat), IoT/IIoT, kumppanit, joilla on paljon laajempi pääsy, kotitoimistot, joissa on turvattomat lähiverkot, ajoneuvokannat omalla datan säilyttämisellä ja IP-osoitteella, mobiililaitteet, joilla on täydet tunnistetiedot (usein työntekijöiden omistamat, mikä lisää turvallisuusongelmia) ja SaaS-sovellukset, joita isännöidään järjestelmissä, joissa on omia tuntemattomia aukkoja.

Kaiken tämän tapahtuessa turvallisuusoperaatiokeskuksella (SOC) voi olla vain muutama minuutti aikaa tunnistaa ja käsitellä tietomurtoa.

IR:n suurin CISO-ongelma on valmistautumisen puute, ja suurin IR-yritysheikkous nykyään on perustavanlaatuinen. Parhaat IR:n prosessit alkavat valmiudella rakentaa vankka organisaatiouhkamalli ja sovittaa yhteen uhkakirjasto asioista, jotka voivat vaikuttaa haitallisesti yritykseen sen kanssa, mitä ennaltaehkäiseviä, etsiviä ja reaktiivisia hallintakeinoja on olemassa kyseisen uhkamallin hyökkäyspintaa vastaan. . Turvallisuusorganisaatio-, automaatio- ja vastausteknologioiden (SOAR) avulla tapahtuvasta automaatiosta on tullut erittäin hyödyllistä vasteaikojen lyhentämisessä ja sellaisten pelikirjojen hyödyntämisessä, jotka käynnistyvät, kun tietyt määritellyt ehdot täyttyvät teknisessä ympäristössä.

Tarkista kartta

Yksi kriittisimmistä peruselementeistä on työskentely nykyisen, tarkan ja kattavan tietokartan perusteella. Ongelmana on, että nykypäivän ympäristöt tekevät todella täydellisen tietokartan mahdottomaksi.

Harkitse mobiilitekijä yksin. Työntekijät ja urakoitsijat luovat jatkuvasti uutta immateriaaliomaisuutta (sähköposteja tai tekstejä, esimerkiksi myyntiedustajan ja asiakkaan tai mahdollisen asiakkaan välillä) mobiililaitteiden avulla eivätkä sitten synkronoi tietoja IT:n hallitsemien keskitettyjen järjestelmien kanssa.

Koska on mahdotonta suojata sellaista, jonka olemassaolosta ei tiedetä, mahdollisimman tarkan tietokartan luominen on erittäin tärkeää. Ei haittaisi myös kaikkien työkalujen, alustojen, laitteistojen/laitteiden (etenkin IoT) ja kaiken muun, jonka hyökkääjä voi horjuttaa, näkyvyyttä.

Jatkuva hyökkäyspinnan hallinta (CASM) on ollut kehittyvä tietoturvatoimintojen osa-alue, jota yritysten on kypsytettävä varmistaakseen, että reunalaitteet, erityisesti ne, jotka ovat IoT-laitteita, joilla voi olla suora yhteys reunayhdyskäytävään, ovat riittävästi suojattuja havaitsevilla ohjauksilla.

Sinun on aloitettava perinteisillä omaisuudenhallintastrategioilla, tunnistamalla kaikki komponentit ja jäljittämällä kaikki omaisuus riippumatta siitä, ovatko ne jossain telineessä vai yhdessä paikassa. Liian monilla yrityksillä ei ole kattavuutta eikä asianmukaista hallintoa. Heidän on sovitettava resurssit ja tiedot kunkin liiketoiminta-alueen kanssa voidakseen suunnitella kestävyyttä kyseiselle LOB:lle. Heidän on selvitettävä kaikki IoT-laitteista kolmannen osapuolen toimittajaohjelmistoihin. Tutkan alla on usein monia asioita. Mikä on kunkin tuotelinjan ekosysteemi?

Pystysuuntainen ulottuvuus

Tämän yhden yrityksen lisäksi hyökkäyspinta ja uhkamaisema on tunnistettava kaikille vertikaaleille, joissa kone toimii, ja usein sen on porauduttava mihin tahansa alatoimialaan. Tämä pakottaa arvioimaan tarkasti, mitä uhkatiedustelua käytetään.

Teollisuuden/vertikaalisten tietojen osalta tämä tarkoittaa tiedonjako- ja analyysikeskusten (ISAC) integrointia avoimen lähdekoodin hälytyksiin, toimittajailmoituksiin, Cybersecurity and Infrastructure Security Agencyn (CISA) ja (National Vulnerability Database (NVD) ja monien muiden, kappaleiden kanssa). sisäiset SIEM-tiedot.

Mutta kaikki tuo uhkatieto on voimakasta ennen tapahtumaa. Kun hyökkäys alkaa ja SOC:n henkilökunta puolustaa itseään aktiivisesti, uhkatiedot voivat joskus osoittautua enemmän häiriötekijäksi kuin avuksi. Se on hienoa ennen hyökkäystä ja sen jälkeen, mutta ei sen aikana.

Yritykset heikentävät usein IR-nopeuttaan ja tehokkuuttaan, koska ne eivät anna SOC-tiimille riittävästi pääsyä ja tietoa. Esimerkiksi valvontalokeissa on usein kyseisten laitteiden IP-osoitteet, mutta joissakin lokeissa näkyy vain sisäinen NAT-osoite, eikä SOC-henkilöstö voinut helposti ja nopeasti kartoittaa julkisia IP-osoitteita NAT-IP-osoitteiksi. Tämä pakotti SOC-tiimin – hätätilanteessa – ottamaan yhteyttä verkkoinfrastruktuuritiimiin.

Onko SOC-tiimillä pääsy kaikkiin pilviympäristöihin? Onko ne lueteltu kaikkien paikannus- ja pilvitukihenkilöstöjen yhteyshenkilöinä?

On yleistä, että turvallisuushenkilöt käyttävät sotilaallisia analogioita - erityisesti sotaviittauksia - kuvaillessaan välikohtausten torjuntastrategioita. Valitettavasti nuo analogiat ovat osuvampia kuin toivoisin. Hyökkääjät käyttävät nykyään huippuluokan koneoppimisjärjestelmiä, ja joskus kansallisvaltiot tukevat heitä taloudellisesti. Niiden järjestelmät ovat usein vankempia ja nykyaikaisempia kuin mitä yritykset käyttävät puolustukseen. Tämä tarkoittaa, että nykypäivän IR-strategioissa on käytettävä ML-työkaluja pysyäkseen mukana. Hyökkääjien menetelmät on ajoitettu sekuntiin, ja he tietävät, että heidän on päästävä sisään, tehtävä vahinko, suodatettava tiedostonsa ja poistuttava nopeasti. CISO:n on nykyään havaittava ja estettävä vieläkin lyhyemmässä ajassa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies