Коли CISO готові до полювання

Як і представник будь-якої професії, керівник відділу інформаційної безпеки (CISO) входить у свою роль. Вони демонструють криву зрілості, яку можна грубо розділити на п’ять установок:

1. Захист: Коли CISO вперше вступають у свою роль, вони намагаються вдосконалити основи та створити для себе фортецю у вигляді брандмауерів, посилення серверів тощо.
2. Виявлення: Визначивши, як побудовано структуру, CISO переходить до все більш і більш складних інструментів моніторингу, включаючи поглиблений моніторинг і фільтрацію пакетів.
3. Відповідь: Підмайстер CISO почне розробляти детальні плани реагування на різні сценарії, вплітаючи їх у загальне планування BC/DR і переконавшись, що команда готова до будь-чого.
4. Автоматизація: Далі вони зосередяться на тому, щоб полегшити життя кожного, включивши автоматизацію, навчання AI/ML і сторонні інтелектуальні засоби у свій і без того надійний захист.

Можливо, ви самі бачили або переживали такий чотириступеневий розвиток. Але є набагато рідше п'ятий етап що досягається набагато пізніше в a Кар'єра CISO. Побачивши безліч неприємностей, які дзижчать навколо них, шукають, намагаються отримати доступ їх території … вони стають неспокійними. Вони втомлюються чекати удару ворогів.

П’ятий і останній етап – проактивність. І саме на цьому етапі CISO виходять на полювання, використовуючи прийоми сучасного захисту.

Вихід із зони комфорту

Точкою розмежування традиційно все стає «чужою проблемою». Якщо щось зламається або зламано, компанії це не вартує.

Принаймні, так було раніше. Ветерани CISO знають, що в епоху хмари та важкої федерації ніщо не може бути дальшим від істини. Кожен хак має брижі. Кожен DDoS має побічний збиток. Атака на вашого провайдера, на федеративного партнера, на ваш ланцюг постачання, на банк компанії чи на постачальників комунальних послуг також може бути нападом на вашу територію.

Найголовніше, соціальна інженерія та шахрайство повністю ігнорують внутрішні розмежування! Вони не поважають традиційних кордонів. Якщо їм потрібно використовуйте свого федеративного партнера, щоб увійти, вони будуть. Якщо їм потрібно проникнути в соціальні мережі ваших співробітників, щоб отримати важелі впливу, вони не вагатимуться.

Але що можна зробити? Ваші інструменти, ваш моніторинг… абсолютно все, що ви створили, призначене для покриття вашої території. Як ви можете вплинути на інший бік розмежування?

Частиною проактивності, яка приходить на п’ятому етапі кар’єри CISO, є здатність обробляти загрози, які потенційно можуть вплинути на ваш бізнес. Це означає поєднання ресурсів, доступних для всієї спільноти кібербезпеки, і інформації, отриманої в результаті ваших власних зусиль моніторингу.

Тепер ви перебуваєте в тому, що Том Петті колись назвав «The Great Wide Open». Погана новина полягає в тому, що ваша діяльність тут більш відкрита. Хороші новини? Ви не самотні.

Ресурси для запобігання шахрайству за межами демаркації

Щоб випереджати, вам потрібно працювати з іншими та оцінювати нові загрози. Тут ще діють два традиційних ресурси: CERT та OWASP. Ці дві організації невтомно відслідковують тенденції кібербезпеки протягом покоління.

Але в блоці є кілька нових дітей, які можуть допомогти вам у полюванні. PortSwigger's Пакет BURP може допомогти вам виконувати інтелектуальний аналіз веб-додатків і мереж (тільки переконайтеся, що ви отримали дозвіл від своїх ділових партнерів, перш ніж повністю відмовитися від їхньої інфраструктури). Деякі консультаційні служби щодо підписки, наприклад Чорна качка можуть бути на вагу золота.

Але це всі рішення з технічної сторони, і шахрайство не завжди є технічним. Щоб вразити шахраїв там, де це боляче, вам потрібно прийняти людський фактор.

Глобальні оборонні зусилля

Однією з переваг використання пакету засобів боротьби з шахрайством, подібного до того, який створено Безпека людини полягає в тому, що зібрана інформація про порушення анонімно передається всій клієнтській базі Human. Це означає, що коли будь-який клієнт реєструє нову спробу шахрайства, оновлення для боротьби з нею надаються всім клієнтам у кожній постраждалій системі: навчання, автоматичне сканування, відхилення спаму, правила брандмауера та фільтрація пакетів тощо.

Крім того, внутрішні та зовнішні спроби неправомірного використання або скомпрометації корпоративних ресурсів порівнюються з подіями, що відбуваються деінде в мережі Human. Якщо є закономірність, команда кібербезпеки інформується, і додаткові ресурси можуть бути виділені для моніторингу ситуації. MediaGuard може зробити те саме для спроб видати себе за іншу особу або нападів на цілісність бренду.

Що ви робите, коли щось спіймаєте?

Усі ці ресурси дозволяють полювати далеко за точкою розмежування. Але що ви робите, коли щось справді вистежуєте?

Якщо ви виявите вразливі місця у своєму ланцюжку поставок або в межах федеративного ресурсу, вам потрібно поділитися ними зі своїм колегою у відповідній компанії. Якщо припустити, що ви зробили все необхідне та з їхнього дозволу, це не проблема. Якщо ви випадково вийшли за межі свого домену без дозволу, перевірте, чи є в постраждалому бізнесі анонімну лінію для підказок щодо шахрайства чи безпеки.

Потім переконайтеся, що ваш власний процес виявлення та фільтрації адаптований для боротьби з новою загрозою, перш ніж шахраї або хакери зможуть навіть спробувати. Повідомте про будь-які нові технічні вразливості в обрану вами консультаційну службу, а потім почніть планувати наступне полювання.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/dr-tech/when-cisos-are-ready-to-hunt