אולי זה לא הוגן לומר שתגובת אירועים (IR) היא המהות של אסטרטגיית אבטחת הסייבר של ארגון, אבל זה מה שכל השאר בונה לקראתו. עם זאת, היריב הגדול ביותר של IR הוא לא תוקפים כמו שהגיע הזמן.
הרעים, לעתים קרובות נעזרים למידת מכונה (במיוחד בהתקפות של שחקנים ממלכתיים), ממוקדים במיוחד. לתוקפי סייבר יש היום תוכנית תקיפה מדויקת. בדרך כלל, הם יהיו מוכנים לגנוב את מה שהם מחפשים - או לפגוע במערכות - תוך מספר דקות ואז לצאת במהירות מהמערכת.
למרות שחלק מהתוקפים מעדיפים אמצעי חמקני שמתקין תוכנות זדוניות וצופה בפעילות הרשת במשך חודשים פוטנציאליים, רבים מהפושעים המגעילים ביותר כיום משתמשים בגישת פגע וברח. זה אומר שתוכנית IR חייבת לזהות מה קורה, לנעול מערכות רגישות במיוחד, וללכוד את התוקף ברגע. מהירות אולי לא הכל, אבל היא קרובה.
מסבך את סביבת ה-IR הנוכחית היא העובדה שנופי האיומים הארגוניים נעשו מורכבים יותר באופן אקספוננציאלי בשנים האחרונות, במיוחד במונחים של היותם נקבוביים כמו גם מתן לרעים הרבה יותר מקומות להסתתר. מעבר למערכות ה-WAN והחברה, יש את המערכות המקומיות המצטמקות - אך עדיין רלוונטיות - מספר רב של סביבות ענן (גם ידוע וגם לא ידוע), IoT/IIoT, שותפים עם גישה הרבה יותר גדולה, משרדים ביתיים עם רשתות LAN לא מאובטחות, ציי רכב עם שמירת נתונים וכתובות IP משלהם, מכשירים ניידים עם אישורים מלאים (לעתים קרובות בבעלות עובדים, מה שמעורר חששות אבטחה נוספים) , ואפליקציות SaaS שמתארחות במערכות עם חורים לא ידועים משלהן.
עם כל זה קורה, למרכז המבצעים האבטחה (SOC) עשויות להיות דקות ספורות לזהות ולהתמודד עם הפרה.
הבעיה הגדולה ביותר של CISO עם IR היא חוסר הכנה, והחולשה הגדולה ביותר של ארגוני IR כיום היא בסיסית. התהליכים הטובים ביותר עבור IR מתחילים במוכנות באמצעות בניית מודל איומים ארגוני מוצק והתאמה בין ספריית האיומים של דברים שעלולים להשפיע לרעה על החברה תוך התאמה לבקרה מונעת, בילוש ותגובתי הקיימות על פני התקפות של אותו מודל איום . שימוש באוטומציה באמצעות טכנולוגיות תזמורת אבטחה, אוטומציה ותגובה (SOAR) הפכה שימושית ביותר בהפחתת זמני התגובה וביכולת למנף ספרי משחק המופעלים בתנאים מוגדרים מסוימים שמתקיימים בסביבה הטכנית.
בדוק את המפה
אחד ממרכיבי היסוד הקריטיים ביותר הוא עבודה מתוך מפת נתונים עדכנית, מדויקת ומקיפה. הבעיה היא שהסביבות של היום הופכות מפת נתונים שלמה באמת לבלתי אפשרית.
שקול את גורם נייד לבד. עובדים וקבלנים יוצרים ללא הרף קניין רוחני חדש (סדרה של מיילים או טקסטים, למשל, בין נציג מכירות ללקוח או לקוח פוטנציאלי) באמצעות מכשירים ניידים ואז לא מסנכרנים את המידע הזה עם מערכות מרכזיות הנשלטות על ידי IT.
מכיוון שאי אפשר להגן על מה שאתה לא יודע שקיים, יצירת מפת נתונים מדויקת ככל האפשר היא קריטית. לא יזיק גם להגדיל את הנראות של כל הכלים, הפלטפורמות, החומרה/התקנים (במיוחד IoT), וכל דבר אחר שתוקף יכול לחתור.
ניהול משטח תקיפה מתמשך (CASM) היה תחום מתפתח של פעילויות אבטחה שחברות צריכות להבשיל כדי להבטיח שמכשירי קצה, במיוחד אלה שהם מכשירי IoT שעשויים להיות להם גישה ישירה לשער הקצה, מוגנים בצורה מספקת באמצעות בקרות בילוש.
אתה צריך להתחיל עם אסטרטגיות ניהול נכסים מסורתיות, לזהות את כל הרכיבים ולעקוב אחר כל הנכסים, ללא קשר אם הם נמצאים במדף איפשהו או בשיתוף. עבור יותר מדי מפעלים, אין מקיפות, אין ממשל תקין. הם צריכים להתאים נכסים ונתונים לכל תחום עסק כדי לתכנן את הקיימות עבור אותו LOB. הם צריכים להבין הכל, החל ממכשירי IoT ועד לתוכנת ספקים של צד שלישי. יש כל כך הרבה דברים שקיימים לעתים קרובות מתחת לרדאר. מהי המערכת האקולוגית של כל קו מוצרים וקו מוצרים?
הממד האנכי
מעבר לכך יש לזהות מפעל אחד, משטח התקיפה ואת נוף האיומים עבור כל אנכיים שבהם המכונה פועלת ולעיתים קרובות היא צריכה לקדוח בכל תת-תעשיות. זה מאלץ הערכה קפדנית של באיזה מודיעין איומים נעשה שימוש.
עבור נתונים תעשייתיים/אנכיים, זה אומר שילוב מרכזי שיתוף וניתוח מידע (ISACs) יחד עם התראות קוד פתוח, הודעות ספקים, סוכנות הסייבר לאבטחת תשתיות (CISA) ו-(מסד הפגיעות הלאומי (NVD) ועוד רבים אחרים, שיר עם נתוני SIEM פנימיים.
אבל כל מידע האיומים הזה חזק לפני תקרית. ברגע שמתקפה מתחילה וצוות ה-SOC מגן על עצמו באופן פעיל, מודיעין איום יכול לפעמים להוכיח יותר כמו הסחת דעת מאשר עזרה. זה נהדר לפני ואחרי ההתקפה, אבל לא במהלך.
חברות לעתים קרובות מערערות את מהירות ה-IR והיעילות שלהן בכך שאינן נותנות לצוות SOC מספיק גישה כמו גם מידע. לדוגמה, יומני ביקורת כוללים לעתים קרובות את כתובות ה-IP של המכשירים המושפעים, אך יומנים מסוימים מציגים רק כתובת NAT פנימית וצוות SOC לא הצליח למפות בקלות ובמהירות כתובות IP ציבוריות לכתובות IP של NAT. זה אילץ את צוות SOC - בזמן חירום - לפנות לצוות תשתית הרשת.
האם לצוות SOC יש גישה לכל סביבות הענן? האם הם רשומים כאנשי קשר לכל צוות התמיכה ב-colocation ובענן?
נפוץ שאנשי אבטחה משתמשים באנלוגיות צבאיות - במיוחד בהתייחסויות למלחמה - כאשר הם מתארים אסטרטגיות תגובה לאירועים. למרבה הצער, האנלוגיות האלה מתאימות יותר ממה שהייתי רוצה. התוקפים כיום משתמשים במערכות למידת מכונה מתקדמות ולעיתים מגובים כלכלית על ידי מדינות לאום. המערכות שלהם לרוב חזקות ומודרניות יותר ממה שארגונים משתמשים בהם להגנה. זה אומר שאסטרטגיות ה-IR של היום חייבות להשתמש בכלי ה-ML כדי לעמוד בקצב. לתוקפים השיטות שלהם מתוזמנות לשנייה, והם יודעים שהם צריכים להיכנס, לעשות את הנזק שלהם, לסנן את הקבצים שלהם ולצאת במהירות. CISOs היום חייבים לזהות ולחסום בעוד פחות זמן.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- a
- יכול
- גישה
- מדויק
- באופן פעיל
- פעילויות
- פעילות
- כתובת
- כתובות
- כראוי
- באופן שלילי
- להשפיע על
- לאחר
- נגד
- סוכנות
- התראות
- תעשיות
- לבד
- לאורך
- גם
- an
- אנליזה
- ו
- תשתיות
- כל
- גישה
- אפליקציות
- APT
- ARE
- AREA
- AS
- נכס
- ניהול נכסים
- נכסים
- לתקוף
- המתקפות
- בדיקה
- אוטומציה
- מגובה
- רע
- BE
- להיות
- היה
- לפני
- להתחיל
- להיות
- להלן
- הטוב ביותר
- בֵּין
- מעבר
- הגדול ביותר
- לחסום
- שניהם
- הפרה
- בִּניָן
- עסקים
- אבל
- by
- CAN
- מרכז
- מרכזים
- מְרוּכָּז
- מערכות מרכזיות
- מסוים
- CISA
- CISO
- סְגוֹר
- ענן
- Common
- חברות
- חברה
- להשלים
- מורכב
- רכיבים
- מַקִיף
- דאגות
- תנאים
- תמיד
- אנשי קשר
- קבלנים
- נשלט
- בקרות
- יכול
- יוצרים
- אישורים
- פושעים
- קריטי
- נוֹכְחִי
- לקוח
- אבטחת סייבר
- סוכנות אבטחת סייבר ותשתיות
- נתונים
- מסד נתונים
- עסקה
- הגנה
- גופי בטחון
- מוגדר
- התקנים
- ישיר
- גישה ישירה
- לְהַצִיג
- דון
- מטה
- בְּמַהֲלָך
- כל אחד
- בקלות
- המערכת האקולוגית
- אדג '
- יְעִילוּת
- אלמנטים
- מיילים
- חירום
- עובדים
- לְהַבטִיחַ
- מִפְעָל
- חברות
- סביבה
- סביבות
- במיוחד
- מַהוּת
- הערכה
- אֲפִילוּ
- כל
- הכל
- מתפתח
- דוגמה
- קיים
- יציאה
- אקספוננציאלית
- הוגן
- מעטים
- תרשים
- קבצים
- כלכלית
- בעד
- כוחות
- החל מ-
- מלא
- שער כניסה
- יצירת
- לקבל
- נתינה
- הולך
- ממשל
- גדול
- יותר
- מתרחש
- יש
- יש
- לעזור
- הסתר
- מאוד
- חורים
- עמוד הבית
- אירח
- אולם
- HTTPS
- כאב
- i
- מזוהה
- לזהות
- זיהוי
- בלתי אפשרי
- in
- תקרית
- תגובה לאירוע
- לכלול
- להגדיל
- מידע
- תשתית
- שילוב
- אינטל
- אִינטֶלֶקְטוּאַלִי
- קניין רוחני
- מוֹדִיעִין
- פנימי
- אל תוך
- IOT
- מכשירי יוט
- IP
- כתובות IP
- IT
- עצמו
- jpg
- שמור
- לדעת
- ידוע
- חוסר
- נוף
- גָדוֹל
- למידה
- תנופה
- סִפְרִיָה
- קו
- ברשימה
- הסתכלות
- מכונה
- למידת מכונה
- לעשות
- תוכנות זדוניות
- ניהול
- רב
- מַפָּה
- להתאים
- בוגר
- מאי..
- אומר
- שיטות
- צבאי
- דקות
- ML
- סלולרי
- מכשירים ניידים
- מודל
- מודרני
- רגעים
- חודשים
- יותר
- רוב
- לאומי
- צורך
- רשת
- חדש
- הודעות
- מספר
- of
- משרדים
- on
- ONE
- רק
- לפתוח
- קוד פתוח
- פועל
- תפעול
- or
- תזמור
- אִרְגוּנִי
- אחרים
- שֶׁלוֹ
- בבעלות
- במיוחד
- שותפים
- אֲנָשִׁים
- מקומות
- תכנית
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- פוטנציאל
- חזק
- צורך
- לְהַעֲדִיף
- מוּכָן
- להציג
- בעיה
- תהליכים
- המוצר
- תָקִין
- רכוש
- נוף
- להגן
- מוּגָן
- להוכיח
- ציבורי
- מהירות
- מכ"ם
- העלאה
- RE
- לְהַגִיעַ
- מוכנות
- לאחרונה
- הפחתה
- אזכור
- ללא קשר
- רלוונטי
- תגובה
- שייר
- חָסוֹן
- s
- SaaS
- מכירות
- שְׁנִיָה
- אבטחה
- פעולות אבטחה
- סדרה
- שיתוף
- So
- תוכנה
- מוצק
- כמה
- אי שם
- מָקוֹר
- מְהִירוּת
- סגל
- התחלה
- עוד
- אסטרטגיות
- אִסטרָטֶגִיָה
- קַפְּדָנִי
- מספיק
- תמיכה
- משטח
- קיימות
- מערכת
- מערכות
- נבחרת
- טכני
- טכנולוגיות
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- הֵם
- דברים
- צד שלישי
- אלה
- איום
- איום מודיעיני
- זמן
- מתוזמן
- פִּי
- ל
- היום
- גַם
- כלים
- לקראת
- מעקב
- מסורתי
- מופעל
- בדרך כלל
- מערער
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- רכב
- מוכר
- אנכיות
- באמצעות
- ראות
- פגיעות
- מִלחָמָה
- שעונים
- חולשה
- אינטרנט
- טוֹב
- מה
- מה
- אם
- אשר
- יצטרך
- עם
- עובד
- שנים
- אתה
- זפירנט
