Det kanske inte är rättvist att säga att incidentrespons (IR) är kärnan i ett företags cybersäkerhetsstrategi, men det är vad allt annat bygger mot. Den största motståndaren till IR är dock inte så mycket angripare som det är dags.
De onda, ofta med hjälp av maskininlärning (särskilt vid statliga aktörsattacker), är ultrafokuserade. Cyberattackare idag har en exakt attackplan. Vanligtvis är de beredda att stjäla det de letar efter – eller skada system – inom några minuter och sedan snabbt lämna systemet.
Även om vissa angripare föredrar ett smygande medel som installerar skadlig programvara och tittar på nätverksaktivitet i potentiellt månader, använder många av de otäckaste brottslingarna idag en hit-and-run-metod. Det betyder att en IR-plan måste identifiera vad som pågår, låsa ultrakänsliga system och fånga angriparen på ett ögonblick. Hastighet är kanske inte allt, men det är nära.
Att komplicera den nuvarande IR-miljön är det faktum att företagshotlandskap har blivit exponentiellt mer komplexa under de senaste åren, särskilt när det gäller att vara porösa och ge skurkarna mycket fler ställen att gömma sig. Utöver WAN- och företagssystemen finns de krympande – men fortfarande relevanta – lokala systemen, ett stort antal molnmiljöer (både kända och okända), IoT/IIoT, partners med mycket större åtkomst, hemmakontor med osäkra LAN, fordonsflottor med egen datalagring och IP-adresser, mobila enheter med fullständiga referenser (ofta ägda av anställda, vilket väcker fler säkerhetsproblem) , och SaaS-appar som finns i system med egna okända hål.
När allt detta händer kan säkerhetsoperationscentret (SOC) bara ha några minuter på sig att identifiera och hantera ett intrång.
Det största CISO-problemet med IR är bristen på förberedelser, och den största svagheten i IR-företaget idag är grundläggande. De bästa processerna för IR börjar med beredskap genom att bygga en solid organisatorisk hotmodell och förena hotbiblioteket av saker som kan påverka företaget negativt med en anpassning till vilka förebyggande, detektiva och reaktiva kontroller som finns mot attackytan på den hotmodellen . Att använda automation via säkerhetsorkestrering, automation och respons (SOAR)-tekniker har blivit mycket användbart för att minska svarstider och kunna utnyttja playbooks som utlöses om vissa definierade villkor uppfylls i den tekniska miljön.
Kolla kartan
En av de mest kritiska grundelementen är att arbeta utifrån en aktuell, korrekt och heltäckande datakarta. Problemet är att dagens miljöer gör det omöjligt att ha en verkligt komplett datakarta.
Överväga mobil faktor ensam. Anställda och entreprenörer skapar ständigt nya immateriella rättigheter (en serie e-postmeddelanden eller texter, till exempel mellan en säljare och en kund eller prospekt) via mobila enheter och synkroniserar sedan inte den informationen med centraliserade system som styrs av IT.
Eftersom det är omöjligt att skydda det som du inte vet finns, är det viktigt att skapa en så korrekt datakarta som möjligt. Det skulle inte skada att också öka synligheten för alla verktyg, plattformar, hårdvara/enheter (särskilt IoT) och allt annat som en angripare kan undergräva.
Continuous Attack Yt Management (CASM) har varit ett växande område av säkerhetsaktiviteter som företag måste mogna för att säkerställa att edge-enheter, särskilt de som är IoT-enheter som kan ha direkt åtkomst till edge-gatewayen, är tillräckligt skyddade med detektivkontroller.
Du måste börja med traditionella kapitalförvaltningsstrategier, identifiera alla komponenter och spåra alla tillgångar, oavsett om de är i ett ställ någonstans eller i en samlokalisering. För alltför många företag finns det ingen helhet, ingen korrekt styrning. De måste matcha tillgångar och data med varje bransch för att rita ut hållbarhet för den LOB. De måste ta reda på allt från IoT-enheter till programvara från tredje part. Det finns så många saker som ofta finns under radarn. Vad är ekosystemet för varje produktlinje?
Den vertikala dimensionen
Utöver det måste ett företag, attackyta och hotlandskapet identifieras för alla vertikaler där maskinen är verksam och ofta måste den borra sig in i alla underbranscher. Det tvingar fram en strikt utvärdering av vilken hotintelligens som används.
För industri/vertikal data innebär det att integrera informationsdelnings- och analyscenter (ISAC) tillsammans med varningar med öppen källkod, leverantörsmeddelanden, Cybersecurity and Infrastructure Security Agency (CISA) och (National Vulnerability Database (NVD) och många andra, låt med interna SIEM-data.
Men all denna hotinformation är kraftfull före en incident. När väl en attack börjar och SOC-personalen aktivt försvarar sig, kan hotinformation ibland visa sig vara mer distraktion än hjälp. Det är bra före som efter attacken, men inte under.
Företag undergräver ofta sin IR-hastighet och effektivitet genom att inte ge SOC-teamet tillräcklig tillgång och information. Till exempel inkluderar granskningsloggar ofta IP-adresserna för berörda enheter, men vissa loggar visar bara en intern NAT-adress och SOC-personalen kunde inte enkelt och snabbt mappa offentliga IP-adresser till NAT IP-adresser. Det tvingade SOC-teamet – under en nödsituation – att nå ut till nätverksinfrastrukturteamet.
Har SOC-teamet tillgång till alla molnmiljöer? Är de listade som kontakter för all colocation- och molnsupportpersonal?
Det är vanligt att säkerhetspersonal använder militära analogier – särskilt krigsreferenser – när de beskriver strategier för incidentrespons. Tyvärr är dessa analogier mer passande än jag skulle önska. Angripare använder idag avancerade maskininlärningssystem och stöds ibland ekonomiskt av nationalstater. Deras system är ofta mer robusta och moderna än vad företag använder för försvar. Det betyder att dagens IR-strategier måste använda ML-verktygen för att hänga med. Angriparna har sina metoder tidsinställda till den andra, och de vet att de måste ta sig in, göra sin skada, exfiltrera sina filer och snabbt komma ut. CISOs idag måste upptäcka och blockera på ännu kortare tid.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/the-tangled-web-of-ir-strategies
- : har
- :är
- :inte
- $UPP
- a
- Able
- tillgång
- exakt
- aktivt
- aktiviteter
- aktivitet
- adress
- adresser
- adekvat
- negativt
- påverka
- Efter
- mot
- byrå
- varningar
- Alla
- ensam
- längs
- också
- an
- analys
- och
- och infrastruktur
- vilken som helst
- tillvägagångssätt
- appar
- APT
- ÄR
- OMRÅDE
- AS
- tillgång
- Kapitalförvaltning
- Tillgångar
- attackera
- Attacker
- revision
- Automation
- dragen tillbaka
- Badrum
- BE
- blir
- varit
- innan
- börja
- Där vi får lov att vara utan att konstant prestera,
- nedan
- BÄST
- mellan
- Bortom
- störst
- Blockera
- båda
- brott
- Byggnad
- företag
- men
- by
- KAN
- Centrum
- Centers
- centraliserad
- centraliserade system
- vissa
- CISA
- CISO
- Stäng
- cloud
- Gemensam
- Företag
- företag
- fullborda
- komplex
- komponenter
- omfattande
- oro
- villkor
- ständigt
- kontakter
- Företag
- kontrolleras
- kontroller
- kunde
- Skapa
- referenser
- brottslingar
- kritisk
- Aktuella
- kund
- Cybersäkerhet
- Byrån för cybersäkerhet och infrastruktur
- datum
- Databas
- behandla
- Försvara
- Försvar
- definierade
- enheter
- rikta
- Direkt tillgång
- Visa
- donation
- ner
- under
- varje
- lätt
- ekosystemet
- kant
- effektivitet
- element
- e
- nödsituation
- anställda
- säkerställa
- Företag
- företag
- Miljö
- miljöer
- speciellt
- huvudsak
- utvärdering
- Även
- Varje
- allt
- utvecklas
- exempel
- finns
- Utgång
- exponentiellt
- verkligt
- få
- Figur
- Filer
- ekonomiskt
- För
- Krafter
- från
- full
- nätbryggan
- generera
- skaffa sig
- Ge
- kommer
- styrning
- stor
- större
- Happening
- Har
- har
- hjälpa
- Dölja
- höggradigt
- Hål
- Hem
- värd
- Men
- HTTPS
- Hurt
- i
- identifierade
- identifiera
- identifiera
- omöjligt
- in
- incident
- incidentrespons
- innefattar
- Öka
- informationen
- Infrastruktur
- Integrera
- Intel
- intellektuella
- immateriella rättigheter
- Intelligens
- inre
- in
- iot
- iot enheter
- IP
- IP-adresser
- IT
- sig
- jpg
- Ha kvar
- Vet
- känd
- Brist
- liggande
- Large
- inlärning
- Hävstång
- Bibliotek
- linje
- Noterade
- du letar
- Maskinen
- maskininlärning
- göra
- malware
- ledning
- många
- karta
- Match
- mogen
- Maj..
- betyder
- metoder
- Militär
- minuter
- ML
- Mobil
- Mobil enheter
- modell
- Modern Konst
- Ögonblick
- månader
- mer
- mest
- nationell
- Behöver
- nät
- Nya
- anmälningar
- antal
- of
- kontor
- on
- ONE
- endast
- öppet
- öppen källkod
- fungerar
- Verksamhet
- or
- orkestrering
- organisatoriska
- Övrigt
- egen
- ägd
- särskilt
- partner
- Personer
- platser
- Planen
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- möjlig
- potentiellt
- den mäktigaste
- exakt
- föredra
- beredd
- presentera
- Problem
- processer
- Produkt
- rätt
- egenskapen
- utsikter
- skydda
- skyddad
- Bevisa
- allmän
- snabbt
- radarn
- höja
- RE
- nå
- Beredskap
- senaste
- reducerande
- referenser
- Oavsett
- relevanta
- respons
- retentionstid
- robusta
- s
- SaaS
- försäljning
- Andra
- säkerhet
- Säkerhetsoperationer
- Serier
- delning
- So
- Mjukvara
- fast
- några
- någonstans
- Källa
- fart
- Personal
- starta
- Fortfarande
- strategier
- Strategi
- sträng
- tillräcklig
- stödja
- yta
- Hållbarhet
- system
- System
- grupp
- Teknisk
- Tekniken
- villkor
- än
- den där
- Smakämnen
- deras
- Där.
- de
- saker
- tredje part
- de
- hot
- hot intelligence
- tid
- Timed
- gånger
- till
- i dag
- alltför
- verktyg
- mot
- spåra
- traditionell
- triggas
- typiskt
- Underminera
- användning
- Begagnade
- med hjälp av
- vehikel
- leverantör
- vertikaler
- via
- synlighet
- sårbarhet
- kriget
- klockor
- svaghet
- webb
- VÄL
- Vad
- Vad är
- om
- som
- kommer
- med
- arbetssätt
- år
- dig
- zephyrnet
