It may not be fair to say that incident response (IR) is the essence of an enterprise’s cybersecurity strategy, but it is what everything else is building toward. However, the biggest opponent of IR is not as much attackers as it is time.
Băieții răi, adesea ajutați de masina de învățare (mai ales în atacurile actorilor de stat), sunt ultrafocalizate. Atacatorii cibernetici au astăzi un plan de atac precis. De obicei, ei vor fi pregătiți să fure ceea ce caută - sau să deterioreze sistemele - în câteva minute și apoi să iasă rapid din sistem.
Although some attackers prefer a stealthy means that installs malware and watches network activity for potentially months, many of the nastiest criminals today use a hit-and-run approach. That means an IR plan must identify what is going on, lock down ultrasensitive systems, and trap the attacker in moments. Speed may not be everything, but it’s close.
Complicarea actualului mediu IR este faptul că peisajele de amenințări ale întreprinderilor au devenit exponențial mai complexe în ultimii ani, mai ales în ceea ce privește faptul că sunt poroase și le oferă băieților răi mult mai multe locuri de ascuns. Dincolo de sistemele WAN și ale companiei, există sistemele locale în scădere, dar încă relevante, un număr mare de medii cloud (cunoscute și necunoscute), IoT/IIoT, parteneri cu acces mult mai mare, birouri de acasă cu rețele LAN nesigure, flote de vehicule cu reținerea datelor și adrese IP proprii, dispozitive mobile cu acreditări complete (deseori deținute de angajați, ceea ce ridică mai multe probleme de securitate) și aplicații SaaS care sunt găzduite în sisteme cu găuri necunoscute proprii.
Odată cu toate acestea, centrul de operațiuni de securitate (SOC) poate avea doar câteva minute pentru a identifica și rezolva o încălcare.
Cea mai mare problemă CISO cu IR este lipsa de pregătire, iar cea mai mare slăbiciune a întreprinderii IR astăzi este fundamentală. Cele mai bune procese pentru IR încep cu pregătirea prin construirea unui model de amenințare organizațional solid și reconcilierea bibliotecii de amenințări a lucrurilor care ar putea afecta negativ compania cu o aliniere la ce controale preventive, detective și reactive sunt prezente împotriva suprafeței de atac a modelului respectiv de amenințări. . Utilizarea automatizării prin tehnologiile de orchestrare, automatizare și răspuns de securitate (SOAR) a devenit extrem de utilă pentru a reduce timpii de răspuns și pentru a putea valorifica manualele care se declanșează în condițiile îndeplinite în anumite condiții definite în mediul tehnic.
Verificați harta
One of the most critical foundational elements is working from a current, accurate, and comprehensive data map. The problem is that today’s environments make having a truly complete data map impossible.
Considera factor mobil singur. Angajații și contractanții creează în mod constant noi proprietăți intelectuale (o serie de e-mailuri sau texte, de exemplu, între un reprezentant de vânzări și un client sau prospect) prin intermediul dispozitivelor mobile și apoi nu sincronizează acele informații cu sistemele centralizate controlate de IT.
Because it’s impossible to protect that which you don’t know exists, generating as accurate a data map as possible is critical. It wouldn’t hurt to also increase the visibility of all tools, platforms, hardware/devices (especially IoT), and anything else that an attacker could subvert.
Managementul continuu al suprafeței de atac (CASM) a fost o zonă în evoluție a activităților de securitate pe care companiile trebuie să o maturizeze pentru a se asigura că dispozitivele de vârf, în special cele care sunt dispozitive IoT care pot avea acces direct la gateway-ul edge, sunt protejate în mod adecvat cu controale detective.
You need to start with traditional asset management strategies, identifying all components and tracing all assets, regardless of whether they’re in a rack somewhere or in a colocation. For too many enterprises, there is no comprehensiveness, no proper governance. They need to match assets and data with each line of business to plot out sustainability for that LOB. They need to figure out everything from IoT devices to third-party vendor software. There are so many things that often exist below the radar. What is the ecosystem for each and every product line?
Dimensiunea verticală
Dincolo de această singură întreprindere, suprafața de atac și peisajul amenințărilor trebuie identificate pentru orice verticală în care funcționează mașina și, adesea, trebuie să găsească în toate subindustriile. Acest lucru obligă la o evaluare strictă a informațiilor despre amenințări utilizate.
Pentru datele industriale/verticale, aceasta înseamnă integrarea centrelor de partajare și analiză a informațiilor (ISAC) împreună cu alerte open source, notificări ale furnizorilor, Agenția de securitate cibernetică și a infrastructurii (CISA) și (National Vulnerability Database (NVD) și multe altele, cântec cu date interne SIEM.
But all of that threat intel is powerful before an incident. Once an attack begins and the SOC staff is actively defending itself, threat intel can sometimes prove more of a distraction than a help. It’s great before as well as after the attack, but not during.
Companies often undermine their IR speed and effectiveness by not giving the SOC team sufficient access as well as information. For example, audit logs often include the IP addresses of affected devices, but some logs only display an internal NAT address and SOC staff couldn’t easily and quickly map public IP addresses to NAT IP addresses. That forced the SOC team — during an emergency — to reach out to the network infrastructure team.
Echipa SOC are acces la toate mediile cloud? Sunt listați ca persoane de contact pentru tot personalul de colocare și asistență în cloud?
It is common for security people to use military analogies — especially war references — when describing incident response strategies. Sadly, those analogies are more apt than I’d wish. Attackers today are using top-end machine learning systems and are sometimes financially backed by nation-states. Their systems are often more robust and modern than what enterprises use for defense. That means that today’s IR strategies must use the ML tools to keep up. The attackers have their methods timed to the second, and they know they have to get in, do their damage, exfiltrate their files, and get out quickly. CISOs today must detect and block in even less time.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- :are
- :este
- :nu
- $UP
- a
- Capabil
- acces
- precis
- activ
- activităţi de
- activitate
- adresa
- adrese
- adecvat
- negativ
- afecta
- După
- împotriva
- agenție
- Alerte
- TOATE
- singur
- de-a lungul
- de asemenea
- an
- analiză
- și
- și infrastructură
- Orice
- abordare
- Apps
- APT
- SUNT
- ZONĂ
- AS
- activ
- gestionarea activelor
- Bunuri
- ataca
- Atacuri
- de audit
- Automatizare
- sprijinit
- Rău
- BE
- deveni
- fost
- înainte
- începe
- fiind
- de mai jos
- CEL MAI BUN
- între
- Dincolo de
- Cea mai mare
- Bloca
- atât
- încălcarea
- Clădire
- afaceri
- dar
- by
- CAN
- Centru
- Centre
- centralizat
- sisteme centralizate
- sigur
- CISA
- CISO
- Închide
- Cloud
- Comun
- Companii
- companie
- Completă
- complex
- componente
- cuprinzător
- preocupările
- Condiții
- mereu
- contacte
- antreprenori
- controlată
- controale
- ar putea
- Crearea
- scrisori de acreditare
- criminali
- critic
- Curent
- client
- Securitate cibernetică
- Agenția de securitate cibernetică și infrastructură
- de date
- Baza de date
- afacere
- Apărarea
- Apărare
- definit
- Dispozitive
- direcționa
- Acces direct
- Afişa
- don
- jos
- în timpul
- fiecare
- cu ușurință
- ecosistem
- Margine
- eficacitate
- element
- e-mailuri
- caz de urgență
- de angajați
- asigura
- Afacere
- Companii
- Mediu inconjurator
- medii
- mai ales
- esenţă
- evaluare
- Chiar
- Fiecare
- tot
- evoluție
- exemplu
- există
- Ieşire
- exponențial
- echitabil
- puțini
- Figura
- Fişiere
- financiar
- Pentru
- Forțele
- din
- Complet
- poartă
- generator
- obține
- Oferirea
- merge
- guvernare
- mare
- mai mare
- lucru
- Avea
- având în
- ajutor
- Ascunde
- extrem de
- găuri
- Acasă
- găzduit
- Totuși
- HTTPS
- Rănit
- i
- identificat
- identifica
- identificarea
- imposibil
- in
- incident
- răspuns la incident
- include
- Crește
- informații
- Infrastructură
- integrarea
- Intel
- intelectual
- de proprietate intelectuală
- Inteligență
- intern
- în
- IoT
- dispozitive iot
- IP
- Adresele IP
- IT
- în sine
- jpg
- A pastra
- Cunoaște
- cunoscut
- lipsă
- peisaj
- mare
- învăţare
- Pârghie
- Bibliotecă
- Linie
- listat
- cautati
- maşină
- masina de învățare
- face
- malware
- administrare
- multe
- Hartă
- Meci
- matur
- Mai..
- mijloace
- Metode
- Militar
- minute
- ML
- Mobil
- dispozitive mobile
- model
- Modern
- Momente
- luni
- mai mult
- cele mai multe
- național
- Nevoie
- reţea
- Nou
- notificări
- număr
- of
- Birouri
- on
- ONE
- afară
- deschide
- open-source
- opereaza
- Operațiuni
- or
- orchestrație
- de organizare
- Altele
- propriu
- deţinute
- în special
- parteneri
- oameni
- Locuri
- plan
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- posibil
- potenţial
- puternic
- precis
- a prefera
- pregătit
- prezenta
- Problemă
- procese
- Produs
- adecvat
- proprietate
- perspectivă
- proteja
- protejat
- Dovedi
- public
- repede
- radar
- ridicare
- RE
- ajunge
- promptitudine
- recent
- reducerea
- referințe
- Fără deosebire
- răspuns
- retenţie
- robust
- s
- SaaS
- de vânzări
- Al doilea
- securitate
- Operațiuni de securitate
- serie
- partajarea
- So
- Software
- solid
- unele
- undeva
- Sursă
- viteză
- Personal
- Începe
- Încă
- strategii
- Strategie
- strict
- suficient
- a sustine
- Suprafață
- Durabilitate
- sistem
- sisteme
- echipă
- Tehnic
- Tehnologii
- termeni
- decât
- acea
- lor
- Acolo.
- ei
- lucruri
- terț
- aceste
- amenințare
- inteligența amenințărilor
- timp
- Contra cronometru
- ori
- la
- astăzi
- de asemenea
- Unelte
- spre
- calc
- tradiţional
- a declanșat
- tipic
- Submina
- utilizare
- utilizat
- folosind
- vehicul
- vânzător
- verticalele
- de
- vizibilitate
- vulnerabilitate
- război
- Ceasuri
- slăbiciune
- web
- BINE
- Ce
- Ce este
- dacă
- care
- voi
- cu
- de lucru
- ani
- tu
- zephyrnet
