错综复杂的 IR 策略网络

错综复杂的 IR 策略网络

时间戳记:21年2023月10日上午00:XNUMX
源节点: 2599231

说事件响应 (IR) 是企业网络安全战略的本质可能不公平,但它是其他一切的构建目标。 然而,IR最大的对手并不是攻击者,而是时间。

坏人,经常得到帮助 机器学习 (特别是在国家行为者攻击中),是超专注的。 今天的网络攻击者有一个精确的攻击计划。 通常,他们会准备好在几分钟内窃取他们正在寻找的东西——或破坏系统,然后迅速退出系统。

尽管一些攻击者更喜欢隐蔽的方式来安装恶意软件并监视网络活动可能长达数月之久,但当今许多最恶劣的犯罪分子都使用打了就跑的方法。 这意味着 IR 计划必须确定正在发生的事情,锁定超敏感系统,并在瞬间困住攻击者。 速度可能不是一切,但它很接近。

使当前 IR 环境复杂化的事实是,近年来企业威胁形势变得更加复杂,特别是在漏洞百出以及为坏人提供更多藏身之处方面。 除了 WAN 和公司系统之外,还有不断缩小但仍然相关的本地系统,大量 云环境 (已知和未知)、物联网/工业物联网、具有更大访问权限的合作伙伴、具有不安全局域网的家庭办公室、具有自己的数据保留和 IP 地址的车队、具有完整凭证的移动设备(通常由员工拥有,引发更多安全问题)和 SaaS 应用程序,这些应用程序托管在自身存在未知漏洞的系统中。

在所有这些发生的情况下,安全运营中心 (SOC) 可能只有几分钟的时间来识别和处理违规行为。

IR 最大的 CISO 问题是缺乏准备,而当今 IR 企业最大的弱点是基础。 IR 的最佳流程从准备就绪开始,方法是建立一个可靠的组织威胁模型,并协调可能对公司产生不利影响的事物的威胁库,并与针对该威胁模型的攻击面的预防、检测和反应控制保持一致. 通过安全编排、自动化和响应 (SOAR) 技术采用自动化在减少响应时间和能够利用在技术环境中满足特定定义条件时触发的剧本方面非常有用。

查看地图

最关键的基础要素之一是根据最新、准确和全面的数据地图开展工作。 问题在于当今的环境使得不可能拥有真正完整的数据地图。

考虑一下 移动因素 独自的。 员工和承包商通过移动设备不断创建新的知识产权(例如,销售代表与客户或潜在客户之间的一系列电子邮件或文本),然后不将该信息与 IT 控制的集中式系统同步。

因为不可能保护您不知道存在的内容,所以生成尽可能准确的数据映射至关重要。 增加所有工具、平台、硬件/设备(尤其是物联网)以及攻击者可以破坏的其他任何东西的可见性也不会有什么坏处。

持续攻击面管理 (CASM) 一直是安全活动的一个不断发展的领域,公司需要使其成熟,以确保边缘设备,特别是那些可能直接访问边缘网关的物联网设备,受到检测控制的充分保护。

您需要从传统的资产管理策略着手,识别所有组件并跟踪所有资产,无论它们是在某个地方的机架中还是在主机托管中。 对于太多的企业来说,没有全面性,没有适当的治理。 他们需要将资产和数据与每条业务线相匹配,以规划出该 LOB 的可持续性。 他们需要弄清楚从物联网设备到第三方供应商软件的一切。 雷达之下经常存在很多事情。 每个产品线的生态系统是什么?

垂直维度

除了一个企业之外,还必须为机器运行的任何垂直领域识别攻击面和威胁态势,而且通常它必须深入到任何和所有子行业。 这迫使对正在使用的威胁情报进行严格评估。

对于行业/垂直数据,这意味着将信息共享和分析中心 (ISAC) 与开源警报、供应商通知、网络安全和基础设施安全局 (CISA) 以及(国家漏洞数据库 (NVD) 和许多其他机构)集成在一起,与内部 SIEM 数据。

但是所有这些威胁情报在事件发生之前都是强大的。 一旦攻击开始并且 SOC 工作人员积极自卫,威胁情报有时会证明更多的是分散注意力而不是帮助。 在攻击之前和之后都很棒,但在攻击期间则不然。

公司通常会通过不向 SOC 团队提供足够的访问权限和信息来削弱其 IR 速度和效率。 例如,审计日志通常包括受影响设备的 IP 地址,但有些日志仅显示内部 NAT 地址,SOC 工作人员无法轻松快速地将公共 IP 地址映射到 NAT IP 地址。 这迫使 SOC 团队在紧急情况下联系网络基础设施团队。

SOC 团队是否可以访问所有云环境? 他们是否被列为所有托管和云支持人员的联系人?

在描述事件响应策略时,安全人员通常使用军事类比——尤其是战争参考。 可悲的是,这些类比比我希望的更恰当。 今天的攻击者正在使用高端机器学习系统,有时还得到国家的财政支持。 他们的系统通常比企业用于防御的系统更强大、更现代。 这意味着今天的 IR 策略必须使用 ML 工具才能跟上。 攻击者将他们的方法计时到秒,他们知道他们必须进入、造成破坏、窃取他们的文件,然后迅速撤离。 今天的 CISO 必须在更短的时间内检测和阻止。

时间戳记:

更多来自 暗读