Potrebbe non essere corretto affermare che la risposta agli incidenti (IR) è l'essenza della strategia di sicurezza informatica di un'azienda, ma è ciò verso cui tutto il resto sta costruendo. Tuttavia, il più grande avversario di IR non sono tanto gli aggressori quanto il tempo.
I cattivi, spesso aiutati da machine learning (specialmente negli attacchi ad attori statali), sono ultra focalizzati. I cyberattaccanti oggi hanno un preciso piano di attacco. In genere, saranno pronti a rubare ciò che stanno cercando, oa danneggiare i sistemi, in pochi minuti e poi a uscire rapidamente dal sistema.
Sebbene alcuni aggressori preferiscano mezzi furtivi che installano malware e monitorano l'attività di rete potenzialmente per mesi, molti dei criminali più cattivi oggi utilizzano un approccio mordi e fuggi. Ciò significa che un piano IR deve identificare cosa sta succedendo, bloccare i sistemi ultrasensibili e intrappolare l'attaccante in pochi istanti. La velocità potrebbe non essere tutto, ma è vicina.
A complicare l'attuale ambiente IR è il fatto che i panorami delle minacce aziendali sono diventati esponenzialmente più complessi negli ultimi anni, soprattutto in termini di permeabilità e di possibilità per i malintenzionati di avere molti più posti in cui nascondersi. Oltre alla WAN e ai sistemi aziendali, ci sono i sistemi on-premise in calo, ma ancora rilevanti, un gran numero di ambienti cloud (sia noti che sconosciuti), IoT/IIoT, partner con accesso molto più ampio, uffici domestici con LAN non sicure, flotte di veicoli con la propria conservazione dei dati e indirizzi IP, dispositivi mobili con credenziali complete (spesso di proprietà dei dipendenti, che sollevano maggiori problemi di sicurezza) e app SaaS ospitate in sistemi con buchi sconosciuti propri.
Con tutto ciò che accade, il centro operativo di sicurezza (SOC) potrebbe avere pochi minuti per identificare e gestire una violazione.
Il più grande problema CISO con IR è la mancanza di preparazione e la più grande debolezza aziendale IR oggi è fondamentale. I migliori processi per IR iniziano con la prontezza attraverso la creazione di un solido modello di minaccia organizzativa e la riconciliazione della libreria di minacce di cose che potrebbero influire negativamente sull'azienda con un allineamento a quali controlli preventivi, investigativi e reattivi sono presenti contro la superficie di attacco di quel modello di minaccia . L'utilizzo dell'automazione tramite le tecnologie SOAR (Security Orchestration, Automation and Response) è diventato estremamente utile per ridurre i tempi di risposta ed essere in grado di sfruttare i playbook che vengono attivati al verificarsi di determinate condizioni definite nell'ambiente tecnico.
Controlla la mappa
Uno degli elementi fondamentali più critici è lavorare a partire da una mappa dei dati attuale, accurata e completa. Il problema è che gli ambienti odierni rendono impossibile disporre di una mappa dati veramente completa.
Si consideri il fattore mobile solo. Dipendenti e appaltatori creano costantemente nuove proprietà intellettuali (una serie di e-mail o testi, ad esempio, tra un rappresentante di vendita e un cliente o potenziale cliente) tramite dispositivi mobili e quindi non sincronizzano tali informazioni con sistemi centralizzati controllati dall'IT.
Poiché è impossibile proteggere ciò di cui non si conosce l'esistenza, è fondamentale generare una mappa dei dati quanto più accurata possibile. Non sarebbe male aumentare anche la visibilità di tutti gli strumenti, piattaforme, hardware/dispositivi (soprattutto IoT) e qualsiasi altra cosa che un utente malintenzionato potrebbe sovvertire.
La gestione continua della superficie di attacco (CASM) è stata un'area in evoluzione delle attività di sicurezza che le aziende devono maturare per garantire che i dispositivi perimetrali, in particolare quelli che sono dispositivi IoT che possono avere accesso diretto al gateway perimetrale, siano adeguatamente protetti con controlli investigativi.
È necessario iniziare con le tradizionali strategie di gestione delle risorse, identificando tutti i componenti e tracciando tutte le risorse, indipendentemente dal fatto che si trovino in un rack da qualche parte o in una colocation. Per troppe imprese non c'è completezza, né governance adeguata. Devono abbinare risorse e dati a ciascuna linea di business per tracciare la sostenibilità per quella LOB. Devono capire tutto, dai dispositivi IoT al software di fornitori di terze parti. Ci sono così tante cose che spesso esistono sotto il radar. Qual è l'ecosistema per ogni singola linea di prodotti?
La dimensione verticale
Al di là di quell'impresa, è necessario identificare la superficie di attacco e il panorama delle minacce per tutti i verticali in cui opera la macchina e spesso deve penetrare in tutti i sottosettori. Ciò impone una valutazione rigorosa di quale intelligence sulle minacce viene utilizzata.
Per i dati di settore/verticali, ciò significa integrare i centri di condivisione e analisi delle informazioni (ISAC) insieme agli avvisi open source, alle notifiche dei fornitori, alla Cybersecurity and Infrastructure Security Agency (CISA) e al (National Vulnerability Database (NVD) e molti altri, canzone con dati SIEM interni.
Ma tutte queste informazioni sulle minacce sono potenti prima di un incidente. Una volta iniziato un attacco e lo staff del SOC si difende attivamente, le informazioni sulle minacce a volte possono rivelarsi più una distrazione che un aiuto. È fantastico prima e dopo l'attacco, ma non durante.
Le aziende spesso compromettono la loro velocità ed efficacia IR non fornendo al team SOC accesso e informazioni sufficienti. Ad esempio, i registri di controllo spesso includono gli indirizzi IP dei dispositivi interessati, ma alcuni registri visualizzano solo un indirizzo NAT interno e il personale SOC non è in grado di mappare facilmente e rapidamente gli indirizzi IP pubblici agli indirizzi IP NAT. Ciò ha costretto il team SOC, durante un'emergenza, a contattare il team dell'infrastruttura di rete.
Il team SOC ha accesso a tutti gli ambienti cloud? Sono elencati come contatti per tutto il personale di colocation e supporto cloud?
È comune per gli addetti alla sicurezza utilizzare analogie militari, in particolare riferimenti di guerra, quando descrivono le strategie di risposta agli incidenti. Purtroppo, queste analogie sono più adatte di quanto vorrei. Gli aggressori oggi utilizzano sistemi di apprendimento automatico di fascia alta e talvolta sono sostenuti finanziariamente dagli stati-nazione. I loro sistemi sono spesso più robusti e moderni di quelli utilizzati dalle aziende per la difesa. Ciò significa che le odierne strategie IR devono utilizzare gli strumenti ML per stare al passo. Gli aggressori hanno i loro metodi sincronizzati al secondo e sanno che devono entrare, fare il loro danno, esfiltrare i loro file ed uscire rapidamente. I CISO oggi devono rilevare e bloccare in tempi ancora più rapidi.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- :ha
- :È
- :non
- $ SU
- a
- capace
- accesso
- preciso
- attivamente
- attività
- attività
- indirizzo
- indirizzi
- adeguatamente
- negativamente
- influenzare
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzia
- avvisi
- Tutti
- da solo
- lungo
- anche
- an
- .
- ed
- e infrastruttura
- in qualsiasi
- approccio
- applicazioni
- APT
- SONO
- RISERVATA
- AS
- attività
- gestione delle risorse
- Attività
- attacco
- attacchi
- revisione
- Automazione
- Backed
- Vasca
- BE
- diventare
- stato
- prima
- iniziare
- essendo
- sotto
- MIGLIORE
- fra
- Al di là di
- Maggiore
- Bloccare
- entrambi
- violazione
- Costruzione
- affari
- ma
- by
- Materiale
- centro
- centri
- centralizzata
- sistemi centralizzati
- certo
- CISA
- CISO
- Chiudi
- Cloud
- Uncommon
- Aziende
- azienda
- completamento di una
- complesso
- componenti
- globale
- preoccupazioni
- condizioni
- costantemente
- contatti
- appaltatori
- controllata
- controlli
- potuto
- Creazione
- Credenziali
- criminali
- critico
- Corrente
- cliente
- Cybersecurity
- Cybersecurity and Infrastructure Security Agency
- dati
- Banca Dati
- affare
- Difendere
- Difesa
- definito
- dispositivi
- dirette
- Accesso diretto
- Dsiplay
- don
- giù
- durante
- ogni
- facilmente
- ecosistema
- bordo
- efficacia
- elementi
- emergenza
- dipendenti
- garantire
- Impresa
- aziende
- Ambiente
- ambienti
- particolarmente
- essenza
- valutazione
- Anche
- Ogni
- qualunque cosa
- evoluzione
- esempio
- esiste
- uscita
- in modo esponenziale
- fiera
- pochi
- figura
- File
- finanziariamente
- Nel
- Forze
- da
- pieno
- porta
- la generazione di
- ottenere
- Dare
- andando
- la governance
- grande
- maggiore
- Happening
- Avere
- avendo
- Aiuto
- nascondere
- vivamente
- Fori
- Casa
- ospitato
- Tuttavia
- HTTPS
- Male
- i
- identificato
- identificare
- identificazione
- impossibile
- in
- incidente
- risposta agli incidenti
- includere
- Aumento
- informazioni
- Infrastruttura
- Integrazione
- Intel
- intellettuale
- proprietà intellettuale
- Intelligence
- interno
- ai miglioramenti
- IoT
- dispositivi iot
- IP
- Gli indirizzi IP
- IT
- stessa
- jpg
- mantenere
- Sapere
- conosciuto
- Dipingere
- paesaggio
- grandi
- apprendimento
- Leva
- Biblioteca
- linea
- elencati
- cerca
- macchina
- machine learning
- make
- il malware
- gestione
- molti
- carta geografica
- partita
- alunni
- Maggio..
- si intende
- metodi
- Militare
- verbale
- ML
- Mobile
- dispositivi mobili
- modello
- moderno
- Moments
- mese
- Scopri di più
- maggior parte
- il
- Bisogno
- Rete
- New
- notifiche
- numero
- of
- uffici
- on
- ONE
- esclusivamente
- aprire
- open source
- opera
- Operazioni
- or
- orchestrazione
- organizzativa
- Altri
- proprio
- Di proprietà
- particolarmente
- partner
- Persone
- Partner
- piano
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- potenzialmente
- potente
- bisogno
- preferire
- preparato
- presenti
- Problema
- i processi
- Prodotto
- corretto
- proprietà
- prospettiva
- protegge
- protetta
- Dimostra
- la percezione
- rapidamente
- radar
- raccolta
- RE
- raggiungere
- prontezza
- recente
- riducendo
- Riferimenti
- Indipendentemente
- pertinente
- risposta
- ritenzione
- robusto
- s
- SaaS
- vendite
- Secondo
- problemi di
- Security Operations
- Serie
- compartecipazione
- So
- Software
- solido
- alcuni
- da qualche parte
- Fonte
- velocità
- STAFF
- inizia a
- Ancora
- strategie
- Strategia
- rigoroso
- sufficiente
- supporto
- superficie
- Sostenibilità
- sistema
- SISTEMI DI TRATTAMENTO
- team
- Consulenza
- Tecnologie
- condizioni
- di
- che
- I
- loro
- Là.
- di
- cose
- di parti terze standard
- quelli
- minaccia
- intelligenza delle minacce
- tempo
- Timed
- volte
- a
- oggi
- pure
- strumenti
- verso
- Tracciato
- tradizionale
- innescato
- tipicamente
- minare
- uso
- utilizzato
- utilizzando
- veicolo
- venditore
- verticali
- via
- visibilità
- vulnerabilità
- guerra
- orologi
- debolezza
- sito web
- WELL
- Che
- Che cosa è l'
- se
- quale
- volere
- con
- lavoro
- anni
- Tu
- zefiro
