Kiedy CISO są gotowi do polowania

Jak członek każdego zawodu, dyrektor ds. bezpieczeństwa informacji (CISO) wrasta w swoją rolę. Wykazują krzywą dojrzałości, którą można z grubsza podzielić na pięć postaw:

1. Ochrona: Kiedy CISO po raz pierwszy wkracza w swoją rolę, stara się udoskonalić podstawy i zbudować dla siebie fortecę w postaci zapór ogniowych, wzmocnienia serwerów i tym podobnych.
2. Wykrycie: Po ustaleniu, w jaki sposób zbudowana jest struktura, CISO przechodzi do coraz bardziej wyrafinowanych narzędzi do monitorowania, obejmujących dogłębne monitorowanie i filtrowanie pakietów.
3. Odpowiedź: Czeladnik CISO zacznie opracowywać szczegółowe plany reakcji na różne scenariusze, wplatając je w ogólne planowanie BC/DR i upewniając się, że zespół jest gotowy na wszystko.
4. Automatyka: Następnie skupią się na ułatwieniu wszystkim życia poprzez włączenie automatyzacji, uczenia się AI/ML i inteligencji stron trzecich do swoich już solidnych mechanizmów obronnych.

Być może sam widziałeś lub doświadczyłeś tego rodzaju czteroetapowej ewolucji. Ale jest znacznie rzadszy piąty etap który jest osiągany znacznie później w a Kariera CISO. Po zobaczeniu mnóstwa irytujących brzęczących wokół nich, sondujących, próbujących uzyskać do nich dostęp ich terytorium… stają się niespokojne. Męczą się czekaniem, aż wrogowie zaatakują.

Piąty i ostatni etap to proaktywność. I właśnie na tym etapie CISO ruszają na łowy, wykorzystując techniki nowoczesnej obrony.

Wychodzenie ze strefy komfortu

Punktem demarkacyjnym jest tradycyjnie miejsce, w którym wszystko staje się „problemem kogoś innego”. Jeśli coś się zepsuje lub zostanie zhakowane, firma nie ponosi odpowiedzialności.

Przynajmniej tak było kiedyś. Doświadczeni CISO wiedzą, że w dobie chmury i ciężkiej federacji nic nie może być dalsze od prawdy. Każdy hack ma fale. Każdy atak DDoS ma dodatkowe szkody. Atak na twojego dostawcę usług internetowych, na partnera federacyjnego, na twój łańcuch dostaw, na bank firmy lub na dostawców mediów, równie dobrze może być atakiem na twój teren.

Co najważniejsze, inżynieria społeczna i oszustwa całkowicie ignorują wewnętrzne rozgraniczenia! Nie szanują tradycyjnych granic. Jeśli muszą użyj partnera federacyjnego, aby się dostać, oni będą. Jeśli będą musieli zinfiltrować media społecznościowe Twoich pracowników, aby zyskać przewagę, nie zawahają się.

Ale co można zrobić? Twoje narzędzia, twój monitoring… absolutnie wszystko, co zbudowałeś, ma na celu pokrycie twojego własnego terytorium. Jak możesz mieć wpływ na drugą stronę demarkacji?

Częścią proaktywności, która pojawia się na piątym etapie kariery CISO, jest zdolność do przetwarzania zagrożeń, które mogą mieć wpływ na Twoją działalność. Oznacza to połączenie zasobów, które są dostępne dla całej społeczności zajmującej się cyberbezpieczeństwem, oraz danych zebranych na podstawie własnych działań monitorujących.

Teraz jesteś w tym, co Tom Petty nazwał kiedyś „The Great Wide Open”. Zła wiadomość jest taka, że ​​twoje działania są tutaj bardziej widoczne. Dobre wieści? nie jesteś sam.

Zasoby dotyczące zapobiegania oszustwom poza granicami

Aby wyprzedzić konkurencję, musisz współpracować z innymi i oceniać pojawiające się zagrożenia. Nadal skuteczne są tutaj dwa tradycyjne środki: CERT i OWASP. Te dwie organizacje niestrudzenie śledzą trendy w cyberbezpieczeństwie od ponad pokolenia.

Ale w okolicy jest kilka nowszych dzieciaków, które mogą ci pomóc w polowaniu. PortSwigger's Pakiet BURP może pomóc w przeprowadzeniu inteligentnej analizy aplikacji internetowych i sieci (tylko upewnij się, że uzyskałeś pozwolenie od swoich partnerów biznesowych, zanim przejdziesz w pełni na ich infrastrukturę). Niektóre usługi doradcze dotyczące subskrypcji, takie jak Czarna kaczka mogą być na wagę złota.

Ale to wszystko są rozwiązania techniczne, a oszustwa nie zawsze są techniczne. Aby uderzyć oszustów tam, gdzie to boli, musisz przyjąć element ludzki.

Globalny wysiłek obronny

Jedną z zalet korzystania z pakietu antyfraudowego, takiego jak ten stworzony przez Ludzkie bezpieczeństwo polega na tym, że gromadzone informacje o naruszeniu są udostępniane anonimowo całej bazie klientów Human. Oznacza to, że gdy u dowolnego klienta zostanie zarejestrowana nowa próba oszustwa, aktualizacje służące do zwalczania oszustwa są udostępniane wszystkim klientom w każdym systemie, którego dotyczy problem: szkolenia, automatyczne skanowanie, odrzucanie spamu, reguły zapory sieciowej i filtrowanie pakietów, by wymienić tylko kilka.

Ponadto wewnętrzne i zewnętrzne próby nadużycia lub naruszenia zasobów korporacyjnych są porównywane ze zdarzeniami mającymi miejsce w innych miejscach w sieci Human. Jeśli istnieje wzorzec, zespół ds. cyberbezpieczeństwa jest informowany, a dodatkowe zasoby mogą zostać przeznaczone na monitorowanie sytuacji. MediaGuard może zrobić to samo w przypadku prób podszywania się pod inne osoby lub ataków na integralność marki.

Co robisz, gdy coś złapiesz?

Wszystkie te zasoby pozwalają polować daleko poza punktem demarkacyjnym. Ale co robisz, gdy faktycznie coś wyśledzisz?

Gdy znajdziesz luki w łańcuchu dostaw lub w zasobie federacyjnym, musisz podzielić się nimi ze swoim odpowiednikiem w danej firmie. Zakładając, że zrobiłeś wszystko zgodnie z planem i za ich zgodą, nie stanowi to problemu. Jeśli przypadkowo polowałeś poza swoją domeną bez pozwolenia, sprawdź, czy firma, której dotyczy problem, ma anonimową infolinię dotyczącą oszustw lub bezpieczeństwa.

Następnie upewnij się, że Twój własny proces wykrywania i filtrowania jest dostosowany do radzenia sobie z nowym zagrożeniem, zanim oszuści lub hakerzy zdążą nawet podjąć próbę. Zgłoś wszelkie nowe luki techniczne do preferowanej usługi doradczej, a następnie zacznij planować następne polowanie.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/dr-tech/when-cisos-are-ready-to-hunt