Търсене
Close this search box.

Откриване и реагиране, което се измерва: Подход с 4 компонента

Борбата със съвременните нападатели изисква стабилна и всеобхватна програма за откриване и реагиране, но предизвикателства като умора от предупрежденията, скъпи инструменти, трудности при набирането на таланти и претоварен екип възпрепятстват напредъка.

На тазгодишното издание на Black Hat Europe Алин Стот, старши щатен инженер в Airbnb, ще обсъди как една подходяща рамка може да помогне на лидерите в областта на ИТ сигурността да развият основните възможности на една модерна програма на фона на непрестанния прилив на инциденти и взискателните графици.

От реактивен към проактивен

„В миналото програмите за откриване и реагиране са били много реактивни, фокусирани върху сигнали, които показват, че нещо лошо вече се е случило“, обяснява Стот. „Искате да сте по-скоро проактивни и не просто да правите лов на заплахи, а да възприемете философия за откриване, която се фокусира върху откриването на заплахите на възможно най-ранен етап от атаката.“

Той добавя, че при много от наследените системи фокусът често е върху технологичните инструменти и доставчиците, за разлика от възможностите, които екипът по сигурността има, и посочва, че много от тези системи са напълно изолирани от останалата част на организацията.

„Когато работите напълно безмълвно и разединено, това поставя екипите ви напълно извън връзката с вашата организация и възпрепятства способността им да работят рамо до рамо с партньорските екипи“, казва той. „Способността за откриване не се мащабира. Необходимо е останалата част от организацията да е в крак с нас и да работи заедно с нас – това е, което определя съвременния подход за откриване и реагиране.“

Стот разделя изпълнението на модернизацията на откриването на заплахи и реагирането на четири етапа, като започва с оценка на текущото състояние на програмата.

„Това е моментът, в който научавате за вашата организация или за технологичните предизвикателства и предизвикателствата пред хората“, казва той. „Кои са заинтересованите страни за вашата организация и кой трябва да бъде привлечен?“

Едно от любимите му неща, свързани с работата в областта на реагирането при откриване, е, че има автоматичен начин за включване на други екипи от заинтересовани страни в основния екип по сигурността, защото в някакъв момент организацията ще преживее инцидент със сигурността.

„Тази идея, че всички са в екипа за реагиране при инцидент, когато има инцидент, наистина е вярна“, казва Стот. „В тази първа фаза трябва да се направи крачка назад и да се види от какво всъщност се нуждае организацията от откриване и реагиране.“

Разбиране и съгласуване на наборите от умения

Във фазата на проектиране и разработване разбирането и съгласуването на наборите от умения са от решаващо значение, за да се избегне изграждането на инструменти, които надхвърлят възможностите на екипа.

„Как събирането на разузнавателни данни за заплахите си взаимодейства с лова на заплахи или инженеринга на откриването и как се съчетава с по-класическите неща за реагиране при инциденти – триаж, анализ, реакция, криминалистика?“ казва Стот.

Важно е да се спрете на конкретни възможности – например изолиране на хост или криминалистика на паметта, или възможност за откриване на аномалии.

„Помислете за различните технически възможности, от които ще се нуждаете за всеки от тези процеси, и след това определете как те ще си взаимодействат“, казва той.

Купуване и създаване на продукти

В третата фаза закупуването и изграждането на продукта определят как планирането и процесите ще бъдат приложени на практика.

„Реалността е такава, че когато сте в процес на реагиране при откриване, вие изграждате нещо ново, все още трябва да сте оперативни, все още имате сигнали, все още имате инциденти“, казва Стот. „Може би ще искате да обмислите привличането на трета страна SOC, за да [си дадете] известно пространство за дишане, за да изградите програмата.“

Той казва, че едно добро решение на доставчика трябва да ви осигури 65% от пътя дотук, като добавя, че важното за всяка платформа е включването на съвременни принципи, които позволяват на екипите по сигурността да изграждат модификации на автоматизацията по начин, който смятат за подходящ.

„Тъй като съм инженер, обичам да строя – понякога това е, което наистина искам да правя“, признава той. „Добро напомняне за инженерите и хората, които работят в моя екип, е да кажат: „Да, ще го купим, но ще има много изграждане“.“

Показатели, които разказват история

Последната фаза включва подобряване на процесите на оценка и отчитане чрез използване на показатели, които разказват за това как се изпълнява програмата.

„Важно е да имате пълна представа за различните видове техники за заплахи, които можете да откриете – и за тези, които не можете да откриете“, казва Стот. „Дори може би по-важно е да знаете какви среди можете да откривате и какви не можете да откривате. Може би дадена организация има добро покритие на крайните точки, но няма добро покритие в производствените си помещения.“

От негова гледна точка способността да се разкаже тази история също ще помогне да се подкрепят исканията за повече финансиране или допълнителен брой служители.

„Вместо да имате всички тези сигнали и да не предоставяте много смисъл за тях, вие предоставяте метрики за наблюдаемост, където можете да видите заплахите в различни среди и да откриете къде имате пропуски“, казва той.

Част от разказването на тази история е обвързването на всички тези показатели с основните наблюдавани заплахи, основните рискови среди и основните тенденции на инцидентите, които се наблюдават в момента.

„Това е, което ви е необходимо, за да изградите пътна карта на това, което знаете, че можете да видите, това, което не можете да видите, и да разработите визия за това как ще го постигнете технически“, казва той. „Ето какво ни е необходимо, за да го финансираме, ето какви документи трябва да имаме и ето какво ни е необходимо, за да можем да го изградим. С това се завършва цялото нещо.“

 

 

Източник: DARKReading

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!