얽힌 IR 전략의 웹

IR(Incident Response)이 기업의 사이버 보안 전략의 본질이라고 말하는 것은 공정하지 않을 수 있지만, 다른 모든 것이 목표로 삼고 있는 것입니다. 그러나 IR의 가장 큰 상대는 시기만큼 공격자가 아니다.

악당들은 종종 다음의 도움을 받습니다. 기계 학습 (특히 상태 행위자 공격에서) 초집중적입니다. 오늘날 사이버 공격자들은 정확한 공격 계획을 가지고 있습니다. 일반적으로 그들은 몇 분 안에 원하는 것을 훔치거나 시스템을 손상시킬 준비가 된 다음 신속하게 시스템을 종료합니다.

일부 공격자는 맬웨어를 설치하고 잠재적으로 몇 개월 동안 네트워크 활동을 감시하는 은밀한 수단을 선호하지만 오늘날 가장 악랄한 범죄자 중 다수는 뺑소니 접근 방식을 사용합니다. 즉, IR 계획은 무슨 일이 일어나고 있는지 식별하고, 극도로 민감한 시스템을 잠그고, 공격자를 순식간에 잡아야 합니다. 속도가 전부는 아니지만 거의 비슷합니다.

현재의 IR 환경을 복잡하게 만드는 것은 기업의 위협 환경이 최근 몇 년 동안 기하급수적으로 복잡해졌기 때문입니다. 특히 구멍이 뚫려 있고 범죄자에게 훨씬 더 많은 숨을 장소를 제공한다는 점에서 그렇습니다. WAN 및 회사 시스템 외에도 축소되고 있지만 여전히 관련성이 높은 온프레미스 시스템이 있습니다. 클라우드 환경 (알려진 것과 알려지지 않은 것 모두), IoT/IIoT, 훨씬 더 많은 액세스 권한을 가진 파트너, 안전하지 않은 LAN이 있는 홈 오피스, 자체 데이터 보존 및 IP 주소가 있는 차량 함대, 전체 자격 증명이 있는 모바일 장치(종종 직원 소유, 더 많은 보안 문제 제기) , 그리고 자체적으로 알려지지 않은 구멍이 있는 시스템에서 호스팅되는 SaaS 앱.

이 모든 일이 발생하면 보안 운영 센터(SOC)는 침해를 식별하고 처리하는 데 몇 분 밖에 걸리지 않을 수 있습니다.

IR의 가장 큰 CISO 문제는 준비 부족이며 오늘날 IR 기업의 가장 큰 약점은 근본적인 것입니다. IR을 위한 최상의 프로세스는 견고한 조직적 위협 모델을 구축하고 해당 위협 모델의 공격 표면에 대해 존재하는 예방, 탐지 및 반응 제어에 따라 회사에 부정적인 영향을 미칠 수 있는 위협 라이브러리를 조정하여 준비 상태에서 시작합니다. . 보안 오케스트레이션, 자동화 및 대응(SOAR) 기술을 통한 자동화를 채택하는 것은 응답 시간을 줄이고 기술 환경에서 충족되는 특정 정의된 조건에 따라 트리거되는 플레이북을 활용할 수 있는 데 매우 유용해졌습니다.

지도 확인

가장 중요한 기본 요소 중 하나는 최신의 정확하고 포괄적인 데이터 맵에서 작업하는 것입니다. 문제는 오늘날의 환경이 진정으로 완전한 데이터 맵을 갖는 것을 불가능하게 만든다는 것입니다.

고려하다 모바일 요인 홀로. 직원과 계약자는 모바일 장치를 통해 지속적으로 새로운 지적 재산(예: 영업 담당자와 고객 또는 잠재 고객 간의 일련의 이메일 또는 텍스트)을 생성한 다음 해당 정보를 IT에서 제어하는 ​​중앙 집중식 시스템과 동기화하지 않습니다.

존재하는지도 모르는 것을 보호하는 것은 불가능하기 때문에 가능한 한 정확한 데이터 맵을 생성하는 것이 중요합니다. 모든 도구, 플랫폼, 하드웨어/장치(특히 IoT) 및 공격자가 파괴할 수 있는 모든 것의 가시성을 높이는 것도 문제가 되지 않습니다.

CASM(지속적인 공격 표면 관리)은 에지 장치, 특히 에지 게이트웨이에 직접 액세스할 수 있는 IoT 장치가 탐지 제어를 통해 적절하게 보호되도록 하기 위해 기업이 성숙해야 하는 보안 활동의 진화하는 영역이었습니다.

기존의 자산 관리 전략부터 시작하여 모든 구성 요소를 식별하고 모든 자산이 랙 어딘가에 있든 코로케이션에 있든 관계없이 모든 자산을 추적해야 합니다. 너무 많은 기업의 경우 포괄성이나 적절한 거버넌스가 없습니다. 해당 LOB의 지속 가능성을 계획하려면 각 비즈니스 라인과 자산 및 데이터를 일치시켜야 합니다. IoT 장치에서 타사 공급업체 소프트웨어에 이르기까지 모든 것을 파악해야 합니다. 종종 레이더 아래에 존재하는 것들이 너무 많습니다. 각 제품 라인의 생태계는 무엇입니까?

수직 차원

하나의 기업을 넘어, 기계가 작동하는 모든 수직 분야에 대해 공격 표면과 위협 환경을 식별해야 하며 종종 모든 하위 산업으로 드릴해야 합니다. 따라서 어떤 위협 인텔리전스가 사용되고 있는지에 대한 엄격한 평가가 필요합니다.

산업/수직 데이터의 경우 이는 ISAC(정보 공유 및 분석 센터)와 오픈 소스 경고, 공급업체 알림, CISA(Cybersecurity and Infrastructure Security Agency) 및 NVD(National Vulnerability Database) 및 기타 많은 정보를 통합하는 것을 의미합니다. 내부 SIEM 데이터.

그러나 그 모든 위협 정보는 사건 이전에 강력합니다. 공격이 시작되고 SOC 직원이 능동적으로 자신을 방어하면 위협 정보는 때때로 도움이 되기보다는 방해가 될 수 있습니다. 공격 전과 후는 좋지만 도중에는 그렇지 않습니다.

기업은 종종 SOC 팀에게 충분한 액세스 권한과 정보를 제공하지 않음으로써 IR 속도와 효율성을 저해합니다. 예를 들어 감사 로그에는 종종 영향을 받는 장치의 IP 주소가 포함되지만 일부 로그에는 내부 NAT 주소만 표시되며 SOC 직원은 공용 IP 주소를 NAT IP 주소에 쉽고 빠르게 매핑할 수 없었습니다. 이로 인해 SOC 팀은 비상 시 네트워크 인프라 팀에 연락해야 했습니다.

SOC 팀이 모든 클라우드 환경에 액세스할 수 있습니까? 모든 코로케이션 및 클라우드 지원 직원의 연락처로 나열됩니까?

보안 담당자가 사고 대응 전략을 설명할 때 군사적 유추, 특히 전쟁 참조를 사용하는 것이 일반적입니다. 슬프게도 이러한 비유는 내가 원하는 것보다 더 적절합니다. 오늘날 공격자들은 최고급 기계 학습 시스템을 사용하고 있으며 때때로 국가로부터 재정적 지원을 받습니다. 그들의 시스템은 종종 기업이 방어에 사용하는 것보다 더 강력하고 현대적입니다. 즉, 오늘날의 IR 전략은 따라잡기 위해 ML 도구를 사용해야 합니다. 공격자는 자신의 방법을 초 단위로 설정하고 침입하여 피해를 입히고 파일을 유출하고 신속하게 빠져나와야 한다는 것을 알고 있습니다. 오늘날 CISO는 더 짧은 시간 안에 탐지하고 차단해야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies