Abordarea tradițională a securității cibernetice a fost utilizarea unei strategii centrate pe prevenire axată pe blocarea atacurilor. Deși sunt importanți, mulți dintre actorii de amenințare avansați și motivați de astăzi ocolesc apărările bazate pe perimetru cu atacuri creative, furtive, direcționate și persistente care adesea rămân nedetectate pentru perioade semnificative de timp.

șase

Ca răspuns la neajunsurile strategiilor de securitate axate pe prevenție și la provocările de a asigura un mediu IT din ce în ce mai complex, organizațiile ar trebui să își schimbe resursele și să se concentreze asupra strategiilor axate pe detectarea și răspunsul la amenințări. Echipele de securitate care își pot reduce timpul mediu de detectare (MTTD) și timpul mediu de răspuns (MTTR) își pot reduce riscul de a experimenta un incident cibernetic cu impact ridicat sau o încălcare a datelor.

Din fericire, incidentele cibernetice cu impact ridicat pot fi evitate dacă detectați și răspundeți rapid cu procesele end-to-end de gestionare a amenințărilor. Când un hacker vizează un mediu, se desfășoară un proces de la intrarea inițială până la eventuala încălcare a datelor, dacă acel actor de amenințare este lăsat nedetectat. Abordarea modernă a securității cibernetice necesită un accent pe reducerea MTTD și MTTR în cazul în care amenințările sunt detectate și ucise la începutul ciclului lor de viață, evitând astfel consecințele și costurile din aval.

Etapele ciclului de viață ale atacului cibernetic

Pașii tipici implicați într-o încălcare sunt:

Faza 1: Recunoaștere - Prima etapă este identificarea potențialelor ținte care satisfac misiunea atacatorilor (de exemplu, câștig financiar, acces direcționat la informații sensibile, daune de marcă). Odată ce stabilesc ce mijloace de apărare sunt la locul lor, își aleg arma, fie că este vorba despre un exploit de zi zero, o campanie de spear-phishing, mituirea unui angajat sau altul.

Faza 2: compromis inițial - Compromisul inițial este de obicei sub formă de hackeri care ocolesc apărările perimetrice și au acces la rețeaua internă printr-un sistem compromis sau un cont de utilizator.

Faza 3: Comandă și control - Dispozitivul compromis este apoi folosit ca cap de plajă într-o organizație. De obicei, aceasta presupune ca atacatorul să descarce și să instaleze un troian cu acces la distanță (RAT), astfel încât să poată stabili un acces la distanță persistent, pe termen lung, la mediul dvs.

Faza 4: Mișcare laterală - Odată ce atacatorul are o conexiune stabilită la rețeaua internă, încearcă să compromită sistemele suplimentare și conturile de utilizator. Deoarece atacatorul folosește adesea un utilizator autorizat, dovezile existenței lor pot fi greu de văzut.

Faza 5: Realizarea țintei
- În această etapă, atacatorul are de obicei mai multe puncte de acces de la distanță și poate compromite sute (sau chiar mii) de sisteme interne și conturi de utilizator. Înțeleg profund aspectele mediului IT și sunt la îndemâna țintei lor.

Faza 6: Exfiltrare, corupție și perturbare - Etapa finală este în care costul pentru companii crește exponențial dacă atacul nu este învins. Acesta este momentul în care atacatorul execută ultimele aspecte ale misiunii lor, furând proprietatea intelectuală sau alte date sensibile, corupând sistemele critice ale misiunii și, în general, perturbând operațiunile afacerii dvs.

Capacitatea de a detecta și de a răspunde la amenințări din timp este cheia pentru protejarea unei rețele de impactul pe scară largă. Cu cât un atac este detectat și atenuat mai devreme, cu atât costul final pentru companie va fi mai mic. Pentru a reduce MTTD și MTTR, trebuie implementat un proces de detectare și răspuns cap la cap - denumit Threat Lifecycle Management (TLM).

Managementul ciclului de viață al amenințării

Gestionarea ciclului de viață al amenințării este o serie de capabilități și procese de operațiuni de securitate aliniate care începe cu abilitatea de a „vedea” în mod larg și profund în mediul IT și se termină cu capacitatea de a atenua și recupera rapid dintr-un incident de securitate.

Înainte ca orice amenințare să poată fi detectată, dovezile atacului în mediul IT trebuie să fie vizibile. Amenințările vizează toate aspectele infrastructurii IT, deci cu cât puteți vedea mai mult, cu atât puteți detecta mai bine. Există trei tipuri principale de date care ar trebui să se concentreze, în general pe următoarea prioritate; date despre evenimente și alarme de securitate, date despre jurnal și mașină, date despre senzori medico-legali.

În timp ce datele de alarmă și evenimentele de securitate sunt de obicei cea mai valoroasă sursă de date pentru o echipă de securitate, poate exista o provocare în identificarea rapidă asupra evenimentelor sau alarmelor pe care să se concentreze. Datele jurnalului pot oferi o vizibilitate mai profundă într-un mediu IT pentru a ilustra cine a făcut ce, când și unde. Odată ce o organizație își colectează efectiv datele din jurnalul de securitate, senzorii criminalistici pot oferi o vizibilitate și mai profundă și mai largă.

Odată ce vizibilitatea a fost stabilită, companiile pot detecta și răspunde la amenințări. Descoperirea potențialelor amenințări se realizează printr-un amestec de căutare și analize automate. Amenințările descoperite trebuie calificate rapid pentru a evalua impactul potențial asupra afacerii și urgența eforturilor de răspuns. Atunci când un incident este calificat, trebuie implementate atenuări pentru reducerea și în cele din urmă eliminarea riscului pentru companie. Odată ce incidentul a fost neutralizat și riscul pentru afacere este sub control, pot începe eforturile complete de recuperare.

Investind în Threat Lifecycle Management, riscul de a experimenta un incident cibernetic dăunător sau o încălcare a datelor este mult redus. Deși vor exista amenințări interne și externe, cheia gestionării impactului acestora într-un mediu și reducerea probabilității de consecințe costisitoare este prin detectarea mai rapidă și capacitățile de răspuns.