Заплутана мережа IR-стратегій

Заплутана мережа IR-стратегій

Мітка часу: 21 квітня 2023 р., 10:00
Вихідний вузол: 2599231

Можливо, було б несправедливо сказати, що реагування на інциденти (IR) є суттю стратегії кібербезпеки підприємства, але це те, до чого будується все інше. Однак найбільшим противником ІК є не стільки зловмисники, скільки час.

Погані хлопці, яким часто допомагають навчання за допомогою машини (особливо в атаках на державних діячів), є надфокусованими. Сьогодні кібератаки мають чіткий план атаки. Як правило, вони готові вкрасти те, що шукають — або пошкодити системи — за кілька хвилин, а потім швидко вийти з системи.

Хоча деякі зловмисники віддають перевагу прихованим засобам, які встановлюють зловмисне програмне забезпечення та спостерігають за мережевою активністю протягом потенційно місяців, багато з найзлісніших злочинців сучасності використовують підхід «убий і втечи». Це означає, що ІЧ-план має визначити, що відбувається, заблокувати надчутливі системи та миттєво захопити зловмисника. Швидкість, можливо, не все, але це близько.

Ускладнює поточне середовище інфрачервоного зв’язку той факт, що корпоративні ландшафти загроз стали експоненціально складнішими за останні роки, особливо з точки зору пористості, а також надання поганим хлопцям набагато більше місць для приховування. Крім WAN і корпоративних систем, є локальні системи, які скорочуються, але все ще актуальні, велика кількість хмарні середовища (як відомі, так і невідомі), IoT/IIoT, партнери з набагато більшим доступом, домашні офіси з незахищеними локальними мережами, автопарки з власними даними та IP-адресами, мобільні пристрої з повними обліковими даними (часто належать працівникам, що викликає більше проблем з безпекою) і програми SaaS, розміщені в системах із невідомими власними дірами.

Зважаючи на все це, центр безпеки (SOC) може мати лічені хвилини, щоб виявити та усунути порушення.

Найбільшою проблемою CISO з IR є недостатня підготовка, а найбільша слабкість підприємства IR сьогодні є фундаментальною. Найкращі процеси для IR починаються з готовності шляхом побудови надійної організаційної моделі загроз і узгодження бібліотеки загроз із речами, які можуть негативно вплинути на компанію, із узгодженням із тим, які запобіжні, детективні та реактивні засоби контролю присутні проти поверхні атаки цієї моделі загроз. . Застосування автоматизації за допомогою технологій оркестровки безпеки, автоматизації та реагування (SOAR) стало дуже корисним для скорочення часу відгуку та можливості використовувати ігри, які запускаються при виконанні певних умов у технічному середовищі.

Перевірте карту

Одним із найважливіших базових елементів є робота з актуальною, точною та вичерпною картою даних. Проблема полягає в тому, що сучасне середовище унеможливлює створення справді повної карти даних.

Розглянемо фактор мобільності поодинці. Співробітники та підрядники постійно створюють нову інтелектуальну власність (серії електронних листів або текстових повідомлень, наприклад, між торговим представником і клієнтом або потенційним клієнтом) за допомогою мобільних пристроїв, а потім не синхронізують цю інформацію з централізованими системами, керованими ІТ.

Оскільки неможливо захистити те, про існування якого ви не знаєте, дуже важливо створити якомога точнішу карту даних. Не завадить також підвищити видимість усіх інструментів, платформ, апаратного забезпечення/пристроїв (особливо IoT) і всього іншого, що зловмисник може підірвати.

Управління безперервною поверхнею атак (CASM) — це сфера безпеки, яка постійно розвивається, і компанії повинні розвиватися, щоб гарантувати належний захист периферійних пристроїв, особливо пристроїв Інтернету речей, які можуть мати прямий доступ до периферійного шлюзу, за допомогою детективного контролю.

Вам потрібно почати з традиційних стратегій управління активами, ідентифікуючи всі компоненти та відстежуючи всі активи, незалежно від того, чи знаходяться вони десь у стелажі чи в спільному розміщенні. Для надто багатьох підприємств немає комплексності та належного управління. Їм потрібно зіставити активи та дані з кожним напрямком діяльності, щоб накреслити сталість для цього LOB. Їм потрібно розібратися в усьому: від пристроїв IoT до програмного забезпечення сторонніх постачальників. Є так багато речей, які часто існують поза радаром. Що таке екосистема для кожної лінії продуктів?

Вертикальний вимір

Окрім цього підприємства, необхідно визначити поверхню атаки та ландшафт загроз для будь-яких вертикалей, де працює машина, і часто їй доводиться проникати в будь-яку без винятку підгалузі. Це вимагає суворої оцінки того, які дані про загрози використовуються.

Для галузевих/вертикальних даних це означає інтеграцію центрів обміну інформацією та аналізу (ISAC) разом із попередженнями з відкритим кодом, сповіщеннями постачальників, Агентством з кібербезпеки та безпеки інфраструктури (CISA) і (Національною базою даних уразливостей (NVD) та багатьма іншими, разом із внутрішні дані SIEM.

Але вся ця інформація про загрози є потужною до інциденту. Коли починається атака і персонал SOC активно захищається, інформація про загрози іноді може більше відволікати, ніж допомагати. Це чудово як до, так і після нападу, але не під час.

Компанії часто підривають швидкість і ефективність ІР, не надаючи команді SOC достатнього доступу та інформації. Наприклад, журнали аудиту часто містять IP-адреси заражених пристроїв, але деякі журнали відображають лише внутрішню адресу NAT, і співробітники SOC не можуть легко та швидко зіставити загальнодоступні IP-адреси з IP-адресами NAT. Це змусило команду SOC — під час надзвичайної ситуації — звернутися до команди мережевої інфраструктури.

Чи має команда SOC доступ до всіх хмарних середовищ? Чи вказані вони як контакти для всього персоналу служби підтримки колокації та хмари?

Під час опису стратегій реагування на інциденти працівники служби безпеки зазвичай використовують військові аналогії — особливо згадки про війну. На жаль, ці аналогії більш влучні, ніж я б хотів. Сьогодні зловмисники використовують високоякісні системи машинного навчання та іноді фінансово підтримуються національними державами. Їхні системи часто надійніші та сучасніші, ніж ті, які підприємства використовують для захисту. Це означає, що сьогоднішні IR-стратегії повинні використовувати інструменти ML, щоб не відставати. Зловмисники мають свої методи, приурочені до секунди, і вони знають, що мають увійти, завдати шкоди, викрасти їхні файли та швидко вибратися. Сьогодні CISO мають виявляти та блокувати за ще менший час.

Часова мітка:

Більше від Темне читання