Il n'est peut-être pas juste de dire que la réponse aux incidents (RI) constitue l'essence même de la stratégie de cybersécurité d'une entreprise, mais c'est vers cela que tend tout le reste. Cependant, le plus grand adversaire de l'IR n'est pas tant les attaquants que le temps.
Les méchants, souvent aidés par machine learning (en particulier dans les attaques impliquant des acteurs étatiques) sont ultra-focalisées. Les cyberattaquants disposent aujourd’hui d’un plan d’attaque précis. En règle générale, ils seront prêts à voler ce qu’ils recherchent – ou à endommager les systèmes – en quelques minutes, puis à quitter rapidement le système.
Bien que certains attaquants préfèrent une méthode furtive qui installe des logiciels malveillants et surveille l'activité du réseau pendant des mois, la plupart des criminels les plus méchants utilisent aujourd'hui une approche de délit de fuite. Cela signifie qu’un plan IR doit identifier ce qui se passe, verrouiller les systèmes ultrasensibles et piéger l’attaquant en quelques instants. La vitesse n’est peut-être pas tout, mais elle s’en rapproche.
Le fait que le paysage des menaces d'entreprise soit devenu exponentiellement plus complexe ces dernières années, notamment en termes de porosité et de donner aux méchants beaucoup plus d'endroits où se cacher, complique l'environnement actuel des RI. Au-delà du WAN et des systèmes d'entreprise, il existe des systèmes sur site en diminution, mais toujours pertinents, un grand nombre de environnements cloud (à la fois connus et inconnus), IoT/IIoT, partenaires avec un accès bien plus large, bureaux à domicile avec des réseaux locaux non sécurisés, flottes de véhicules avec leurs propres rétentions de données et adresses IP, appareils mobiles avec des informations d'identification complètes (souvent détenues par des employés, ce qui soulève davantage de problèmes de sécurité). , et les applications SaaS hébergées dans des systèmes comportant leurs propres failles inconnues.
Dans ce contexte, le centre des opérations de sécurité (SOC) ne dispose que de quelques minutes pour identifier et traiter une faille.
Le plus gros problème des RSSI en matière de RI est le manque de préparation, et la plus grande faiblesse des entreprises de RI aujourd'hui est fondamentale. Les meilleurs processus de RI commencent par la préparation via la création d'un modèle de menace organisationnel solide et la réconciliation de la bibliothèque de menaces susceptibles d'affecter négativement l'entreprise avec un alignement sur les contrôles préventifs, de détection et réactifs présents contre la surface d'attaque de ce modèle de menace. . L'utilisation de l'automatisation via les technologies d'orchestration, d'automatisation et de réponse de sécurité (SOAR) est devenue très utile pour réduire les temps de réponse et pouvoir exploiter des playbooks qui se déclenchent lorsque certaines conditions définies sont remplies dans l'environnement technique.
Vérifiez la carte
L’un des éléments fondamentaux les plus critiques consiste à travailler à partir d’une carte de données actuelle, précise et complète. Le problème est que les environnements actuels rendent impossible l’obtention d’une carte de données véritablement complète.
Considérons le facteur mobile seul. Les employés et les sous-traitants créent constamment de nouvelles propriétés intellectuelles (une série d'e-mails ou de SMS, par exemple entre un commercial et un client ou un prospect) via des appareils mobiles et ne synchronisent pas ces informations avec des systèmes centralisés contrôlés par l'informatique.
Parce qu'il est impossible de protéger ce dont vous ignorez l'existence, il est essentiel de générer une carte de données aussi précise que possible. Cela ne ferait pas de mal d'augmenter également la visibilité de tous les outils, plates-formes, matériels/appareils (en particulier l'IoT) et de tout ce qu'un attaquant pourrait détourner.
La gestion continue des surfaces d'attaque (CASM) est un domaine d'activités de sécurité en évolution que les entreprises doivent développer pour garantir que les appareils de périphérie, en particulier ceux qui sont des appareils IoT pouvant avoir un accès direct à la passerelle de périphérie, sont correctement protégés par des contrôles de détection.
Vous devez commencer par des stratégies traditionnelles de gestion des actifs, en identifiant tous les composants et en traçant tous les actifs, qu'ils se trouvent dans un rack quelque part ou dans une colocation. Pour un trop grand nombre d’entreprises, il n’existe pas d’exhaustivité ni de gouvernance adéquate. Ils doivent faire correspondre les actifs et les données avec chaque secteur d'activité pour planifier la durabilité de ce secteur d'activité. Ils doivent tout comprendre, des appareils IoT aux logiciels de fournisseurs tiers. Il y a tellement de choses qui existent souvent sous le radar. Quel est l’écosystème de chaque gamme de produits ?
La dimension verticale
Au-delà de cette entreprise, la surface d’attaque et le paysage des menaces doivent être identifiés pour tous les secteurs verticaux dans lesquels la machine opère et elle doit souvent pénétrer dans tous les sous-secteurs. Cela oblige à une évaluation stricte des renseignements sur les menaces utilisés.
Pour les données industrielles/verticales, cela signifie intégrer des centres de partage et d'analyse d'informations (ISAC) ainsi que des alertes open source, des notifications de fournisseurs, la Cybersecurity and Infrastructure Security Agency (CISA) et la (National Vulnerability Database (NVD) et bien d'autres, chanson avec données SIEM internes.
Mais toutes ces informations sur les menaces sont puissantes avant un incident. Une fois qu’une attaque commence et que le personnel du SOC se défend activement, les informations sur les menaces peuvent parfois s’avérer plus une distraction qu’une aide. C'est bien avant comme après l'attaque, mais pas pendant.
Les entreprises nuisent souvent à la rapidité et à l’efficacité de leur IR en ne donnant pas à l’équipe SOC un accès et des informations suffisants. Par exemple, les journaux d'audit incluent souvent les adresses IP des appareils concernés, mais certains journaux affichent uniquement une adresse NAT interne et le personnel SOC n'a pas pu mapper facilement et rapidement les adresses IP publiques aux adresses IP NAT. Cela a obligé l'équipe SOC, en cas d'urgence, à contacter l'équipe chargée de l'infrastructure réseau.
L'équipe SOC a-t-elle accès à tous les environnements cloud ? Sont-ils répertoriés comme contacts pour tout le personnel de colocation et de support cloud ?
Il est courant que les responsables de la sécurité utilisent des analogies militaires – en particulier des références à la guerre – lorsqu’ils décrivent les stratégies de réponse aux incidents. Malheureusement, ces analogies sont plus pertinentes que je ne le souhaiterais. Les attaquants utilisent aujourd’hui des systèmes d’apprentissage automatique haut de gamme et sont parfois soutenus financièrement par les États-nations. Leurs systèmes sont souvent plus robustes et modernes que ceux utilisés par les entreprises pour la défense. Cela signifie que les stratégies de RI actuelles doivent utiliser les outils de ML pour suivre le rythme. Les attaquants ont leurs méthodes chronométrées à la seconde près, et ils savent qu’ils doivent entrer, faire des dégâts, exfiltrer leurs fichiers et sortir rapidement. Aujourd’hui, les RSSI doivent détecter et bloquer encore moins de temps.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- :possède
- :est
- :ne pas
- $UP
- a
- Capable
- accès
- Avec cette connaissance vient le pouvoir de prendre
- activement
- d'activités
- activité
- propos
- adresses
- adéquatement
- de manière négative
- affecter
- Après
- à opposer à
- agence
- alertes
- Tous
- seul
- le long de
- aussi
- an
- selon une analyse de l’Université de Princeton
- ainsi que le
- et infrastructure
- tous
- une approche
- applications
- APT
- SONT
- Réservé
- AS
- atout
- la gestion d'actifs
- Outils
- attaquer
- Attaques
- audit
- Automation
- soutenu
- Mal
- BE
- devenez
- était
- before
- commencer
- va
- ci-dessous
- LES MEILLEURS
- jusqu'à XNUMX fois
- Au-delà
- Le plus grand
- Block
- tous les deux
- violation
- Développement
- la performance des entreprises
- mais
- by
- CAN
- Canaux centraux
- Centres
- centralisée
- systèmes centralisés
- certaines
- CISA
- CISO
- Fermer
- le cloud
- Commun
- Sociétés
- Société
- complet
- complexe
- composants électriques
- complet
- Préoccupations
- conditions
- constamment
- Contacts
- entrepreneurs
- contrôlée
- contrôles
- pourriez
- La création
- Lettres de créance
- Criminels
- critique
- Courant
- des clients
- Cybersécurité
- Agence de cybersécurité et de sécurité des infrastructures
- données
- Base de données
- affaire
- Défendre
- Défense
- défini
- Compatibles
- Accès direct
- Commande
- Don
- down
- pendant
- chacun
- même
- risque numérique
- Edge
- efficacité
- éléments
- emails
- urgence climatique.
- employés
- assurer
- Entreprise
- entreprises
- Environment
- environnements
- notamment
- essence
- évaluation
- Pourtant, la
- Chaque
- peut
- évolution
- exemple
- existe
- Sortie
- exponentielle
- juste
- few
- Figure
- Fichiers
- financièrement
- Pour
- Forces
- De
- plein
- porte
- générateur
- obtenez
- Don
- aller
- gouvernance
- l'
- plus grand
- EN COURS
- Vous avez
- ayant
- vous aider
- Cacher
- très
- des trous
- Accueil
- organisé
- Cependant
- HTTPS
- Blesser
- i
- identifié
- identifier
- identifier
- impossible
- in
- incident
- réponse à l'incident
- comprendre
- Améliore
- d'information
- Infrastructure
- Intégration
- Intel
- intellectuel
- propriété intellectuelle
- Intelligence
- interne
- développement
- IOT
- iot devices
- IP
- adresses IP
- IT
- lui-même
- jpg
- XNUMX éléments à
- Savoir
- connu
- Peindre
- paysage d'été
- gros
- apprentissage
- Levier
- Bibliothèque
- Gamme
- Listé
- recherchez-
- click
- machine learning
- a prendre une
- malware
- gestion
- de nombreuses
- Localisation
- Match
- mature
- Mai..
- veux dire
- méthodes
- Militaire
- minutes
- ML
- Breeze Mobile
- appareils mobiles
- modèle
- Villas Modernes
- Des moments
- mois
- PLUS
- (en fait, presque toutes)
- Nationales
- Besoin
- réseau et
- Nouveauté
- Notifications
- nombre
- of
- bureaux
- on
- ONE
- uniquement
- ouvert
- open source
- exploite
- Opérations
- or
- orchestration
- organisationnel
- Autres
- propre
- propriété
- particulièrement
- partenaires,
- Personnes
- Des endroits
- plan
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- possible
- l'éventualité
- solide
- précis
- préfère
- préparé
- représentent
- Problème
- les process
- Produit
- correct
- propriété
- perspective
- protéger
- protégé
- Prouver
- public
- vite.
- radar
- élevage
- RE
- nous joindre
- Préparation
- récent
- réduire
- Indépendamment
- pertinent
- réponse
- rétention
- robuste
- s
- SaaS.
- vente
- Deuxièmement
- sécurité
- Opérations de cybersécurité
- Série
- partage
- So
- Logiciels
- solide
- quelques
- quelque part
- Identifier
- vitesse
- L'équipe
- Commencer
- Encore
- les stratégies
- de Marketing
- strict
- suffisant
- Support
- Surface
- Durabilité
- combustion propre
- Système
- équipe
- Technique
- Les technologies
- conditions
- que
- qui
- Les
- leur
- Là.
- l'ont
- des choses
- des tiers.
- ceux
- menace
- renseignements sur les menaces
- fiable
- Chronométré
- fois
- à
- aujourd'hui
- trop
- les outils
- vers
- Traçant
- traditionnel
- déclenché
- typiquement
- Saper
- utilisé
- d'utiliser
- en utilisant
- véhicule
- vendeur
- verticales
- via
- définition
- vulnérabilité
- guerre
- montres
- faiblesse
- web
- WELL
- Quoi
- Qu’est ce qu'
- que
- qui
- sera
- comprenant
- de travail
- années
- you
- zéphyrnet
