Het is misschien niet eerlijk om te zeggen dat incidentrespons (IR) de essentie is van de cyberbeveiligingsstrategie van een onderneming, maar het is waar al het andere naar toe werkt. De grootste tegenstander van IR zijn echter niet zozeer aanvallers als tijd.
De slechteriken, vaak geholpen door machine learning (vooral bij aanvallen door statelijke actoren), zijn ultragefocust. Cyberaanvallers hebben tegenwoordig een nauwkeurig aanvalsplan. Meestal zijn ze bereid om binnen een paar minuten te stelen wat ze zoeken - of om systemen te beschadigen - en dan snel het systeem te verlaten.
Hoewel sommige aanvallers de voorkeur geven aan een onopvallend middel dat malware installeert en de netwerkactiviteit mogelijk maanden in de gaten houdt, gebruiken veel van de gemeenste criminelen tegenwoordig een hit-and-run-benadering. Dat betekent dat een IR-plan moet identificeren wat er aan de hand is, ultragevoelige systemen moet vergrendelen en de aanvaller binnen enkele ogenblikken in de val moet lokken. Snelheid is misschien niet alles, maar het komt in de buurt.
Wat de huidige IR-omgeving nog ingewikkelder maakt, is het feit dat de dreigingslandschappen van ondernemingen de afgelopen jaren exponentieel complexer zijn geworden, vooral wat betreft poreusheid en slechtere plekken om zich te verstoppen. Naast de WAN- en bedrijfssystemen zijn er de krimpende - maar nog steeds relevante - on-premises systemen, een groot aantal cloudomgevingen (zowel bekend als onbekend), IoT/IIoT, partners met veel betere toegang, thuiskantoren met onveilige LAN's, wagenparken met hun eigen gegevensbewaring en IP-adressen, mobiele apparaten met volledige inloggegevens (vaak eigendom van werknemers, waardoor er meer beveiligingsproblemen ontstaan) , en SaaS-apps die worden gehost in systemen met onbekende eigen gaten.
Als dat allemaal gebeurt, heeft het Security Operations Center (SOC) mogelijk slechts enkele minuten om een inbreuk te identificeren en op te lossen.
Het grootste CISO-probleem met IR is een gebrek aan voorbereiding, en de grootste zwakte van IR-ondernemingen vandaag de dag is fundamenteel. De beste processen voor IR beginnen met paraatheid via het bouwen van een solide dreigingsmodel voor de organisatie en het verzoenen van de dreigingsbibliotheek van dingen die een negatieve invloed kunnen hebben op het bedrijf met een afstemming op welke preventieve, detective- en reactieve controles aanwezig zijn tegen het aanvalsoppervlak van dat dreigingsmodel . Het gebruik van automatisering via technologieën voor beveiligingsorkestratie, automatisering en respons (SOAR) is zeer nuttig geworden bij het verkorten van responstijden en het kunnen gebruiken van draaiboeken die worden geactiveerd wanneer aan bepaalde gedefinieerde voorwaarden wordt voldaan in de technische omgeving.
Controleer de kaart
Een van de meest kritieke basiselementen is het werken vanuit een actuele, nauwkeurige en uitgebreide gegevenskaart. Het probleem is dat de omgevingen van vandaag het onmogelijk maken om een werkelijk complete datamap te hebben.
Houd rekening met de mobiele factor alleen. Werknemers en contractanten creëren voortdurend nieuw intellectueel eigendom (bijvoorbeeld een reeks e-mails of sms-berichten tussen een verkoper en een klant of prospect) via mobiele apparaten en synchroniseren die informatie vervolgens niet met gecentraliseerde systemen die door IT worden beheerd.
Omdat het onmogelijk is om datgene te beschermen waarvan u niet weet dat het bestaat, is het van cruciaal belang om een zo nauwkeurig mogelijke datamap te genereren. Het zou geen kwaad om ook de zichtbaarheid van alle tools, platforms, hardware/apparaten (vooral IoT) en al het andere dat een aanvaller zou kunnen ondermijnen, te vergroten.
Continu aanvalsoppervlakbeheer (CASM) is een zich ontwikkelend gebied van beveiligingsactiviteiten dat bedrijven moeten ontwikkelen om ervoor te zorgen dat edge-apparaten, met name IoT-apparaten die mogelijk directe toegang hebben tot de edge-gateway, adequaat worden beschermd met detectivecontroles.
U moet beginnen met traditionele activabeheerstrategieën, waarbij u alle componenten identificeert en alle activa traceert, ongeacht of ze zich ergens in een rek of in een colocatie bevinden. Voor te veel ondernemingen is er geen alomvattendheid, geen goed bestuur. Ze moeten activa en gegevens matchen met elke branche om duurzaamheid voor die LOB in kaart te brengen. Ze moeten alles uitzoeken, van IoT-apparaten tot software van derden. Er zijn zoveel dingen die vaak onder de radar bestaan. Wat is het ecosysteem voor elke productlijn?
De verticale dimensie
Buiten die ene onderneming moeten het aanvalsoppervlak en het dreigingslandschap worden geïdentificeerd voor alle branches waar de machine actief is en vaak moet het in alle subsectoren boren. Dat dwingt tot een strikte evaluatie van welke dreigingsinformatie wordt gebruikt.
Voor branche-/verticale gegevens betekent dit de integratie van informatie-uitwisselings- en analysecentra (ISAC's) samen met open source-waarschuwingen, leveranciersmeldingen, de Cybersecurity and Infrastructure Security Agency (CISA) en de (National Vulnerability Database (NVD) en vele anderen, nummer met interne SIEM-gegevens.
Maar al die dreigingsinformatie is krachtig vóór een incident. Zodra een aanval begint en de SOC-staf zichzelf actief verdedigt, kan dreigingsinformatie soms meer afleiden dan helpen. Het is geweldig voor zowel als na de aanval, maar niet tijdens.
Bedrijven ondermijnen vaak hun IR-snelheid en -effectiviteit door het SOC-team niet voldoende toegang en informatie te geven. Auditlogboeken bevatten bijvoorbeeld vaak de IP-adressen van getroffen apparaten, maar sommige logboeken geven alleen een intern NAT-adres weer en SOC-personeel kon openbare IP-adressen niet gemakkelijk en snel toewijzen aan NAT IP-adressen. Dat dwong het SOC-team - tijdens een noodgeval - om contact op te nemen met het netwerkinfrastructuurteam.
Heeft het SOC-team toegang tot alle cloudomgevingen? Staan ze vermeld als contactpersonen voor alle colocatie- en cloudondersteuningsmedewerkers?
Het is gebruikelijk dat beveiligingsmensen militaire analogieën gebruiken - vooral oorlogsreferenties - bij het beschrijven van strategieën voor reactie op incidenten. Helaas zijn die analogieën toepasselijker dan ik zou wensen. Aanvallers gebruiken tegenwoordig geavanceerde machine learning-systemen en worden soms financieel ondersteund door natiestaten. Hun systemen zijn vaak robuuster en moderner dan wat bedrijven voor defensie gebruiken. Dat betekent dat de huidige IR-strategieën de ML-tools moeten gebruiken om bij te blijven. De aanvallers hebben hun methoden tot op de seconde getimed en ze weten dat ze binnen moeten komen, hun schade moeten aanrichten, hun bestanden moeten exfiltreren en snel moeten vertrekken. CISO's moeten tegenwoordig in nog minder tijd detecteren en blokkeren.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- : heeft
- :is
- :niet
- $UP
- a
- in staat
- toegang
- accuraat
- actief
- activiteiten
- activiteit
- adres
- adressen
- voldoende
- ongunstig
- invloed hebben op
- Na
- tegen
- agentschap
- meldingen
- Alles
- alleen
- langs
- ook
- an
- analyse
- en
- en infrastructuur
- elke
- nadering
- apps
- APT
- ZIJN
- GEBIED
- AS
- aanwinst
- vermogensbeheer
- Activa
- aanvallen
- Aanvallen
- controleren
- Automatisering
- met een rug
- slecht
- BE
- worden
- geweest
- vaardigheden
- beginnen
- wezen
- onder
- BEST
- tussen
- Verder
- Grootste
- Blok
- zowel
- overtreding
- Gebouw
- bedrijfsdeskundigen
- maar
- by
- CAN
- Centreren
- Centra
- gecentraliseerde
- gecentraliseerde systemen
- zeker
- CISA
- CISO
- Sluiten
- Cloud
- Gemeen
- Bedrijven
- afstand
- compleet
- complex
- componenten
- uitgebreid
- Zorgen
- voorwaarden
- permanent
- contacten
- aannemers
- gecontroleerd
- controles
- kon
- Wij creëren
- Geloofsbrieven
- criminelen
- kritisch
- Actueel
- klant
- Cybersecurity
- Agentschap voor cyberbeveiliging en infrastructuurbeveiliging
- gegevens
- Database
- transactie
- Verdedigen
- Verdediging
- gedefinieerd
- systemen
- directe
- Directe toegang
- Display
- don
- beneden
- gedurende
- elk
- gemakkelijk
- ecosysteem
- rand
- effectiviteit
- geeft je de mogelijkheid
- e-mails
- noodgeval
- medewerkers
- verzekeren
- Enterprise
- bedrijven
- Milieu
- omgevingen
- vooral
- essentie
- evaluatie
- Zelfs
- Alle
- alles
- evoluerende
- voorbeeld
- bestaat
- afrit
- exponentieel
- eerlijk
- weinig
- Figuur
- Bestanden
- financieel
- Voor
- Krachten
- oppompen van
- vol
- poort
- het genereren van
- krijgen
- Vrijgevigheid
- gaan
- bestuur
- groot
- meer
- Happening
- Hebben
- met
- hulp
- Verbergen
- zeer
- Gaten
- Home
- gehost
- Echter
- HTTPS
- Pijn
- i
- geïdentificeerd
- identificeren
- het identificeren van
- onmogelijk
- in
- incident
- incident reactie
- omvatten
- Laat uw omzet
- informatie
- Infrastructuur
- Integreren
- Intel
- intellectueel
- intellectueel eigendom
- Intelligentie
- intern
- in
- iot
- iot apparaten
- IP
- IP adressen
- IT
- zelf
- jpg
- Houden
- blijven
- bekend
- Gebrek
- Landschap
- Groot
- leren
- Hefboomwerking
- Bibliotheek
- Lijn
- opgesomd
- op zoek
- machine
- machine learning
- maken
- malware
- management
- veel
- kaart
- Match
- volwassen
- Mei..
- middel
- methoden
- Leger
- minuten
- ML
- Mobile
- mobiele toestellen
- model
- Modern
- Moments
- maanden
- meer
- meest
- nationaal
- Noodzaak
- netwerk
- New
- meldingen
- aantal
- of
- kantoren
- on
- EEN
- Slechts
- open
- open source
- exploiteert
- Operations
- or
- orkestratie
- organisatorische
- Overig
- het te bezitten.
- eigendom
- vooral
- partners
- Mensen
- plaatsen
- plan
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- mogelijk
- mogelijk
- krachtige
- nauwkeurig
- de voorkeur geven
- bereid
- presenteren
- probleem
- processen
- Product
- gepast
- eigendom
- vooruitzicht
- beschermen
- beschermd
- Bewijzen
- publiek
- snel
- radar
- het verhogen van
- RE
- bereiken
- gereedheid
- recent
- vermindering
- referenties
- achteloos
- relevante
- antwoord
- behoud
- robuust
- s
- SaaS
- verkoop
- Tweede
- veiligheid
- Beveiligingsoperaties
- -Series
- delen
- So
- Software
- solide
- sommige
- ergens
- bron
- snelheid
- Medewerkers
- begin
- Still
- strategieën
- Strategie
- streng
- voldoende
- ondersteuning
- Oppervlak
- Duurzaamheid
- system
- Systems
- team
- Technisch
- Technologies
- termen
- neem contact
- dat
- De
- hun
- Er.
- ze
- spullen
- van derden
- die
- bedreiging
- bedreigingsintelligentie
- niet de tijd of
- Timed
- keer
- naar
- vandaag
- ook
- tools
- in de richting van
- Tracing
- traditioneel
- veroorzaakt
- typisch
- Ondermijnen
- .
- gebruikt
- gebruik
- voertuig
- verkoper
- verticals
- via
- zichtbaarheid
- kwetsbaarheid
- oorlog
- horloges
- zwakte
- web
- GOED
- Wat
- Wat is
- of
- welke
- wil
- Met
- werkzaam
- jaar
- u
- zephyrnet
