Борбата със съвременните нападатели изисква стабилна и всеобхватна програма за откриване и реагиране, но предизвикателства като умора от предупрежденията, скъпи инструменти, трудности при набирането на таланти и претоварен екип възпрепятстват напредъка.
На тазгодишното издание на Black Hat Europe Алин Стот, старши щатен инженер в Airbnb, ще обсъди как една подходяща рамка може да помогне на лидерите в областта на ИТ сигурността да развият основните възможности на една модерна програма на фона на непрестанния прилив на инциденти и взискателните графици.
„В миналото програмите за откриване и реагиране са били много реактивни, фокусирани върху сигнали, които показват, че нещо лошо вече се е случило“, обяснява Стот. „Искате да сте по-скоро проактивни и не просто да правите лов на заплахи, а да възприемете философия за откриване, която се фокусира върху откриването на заплахите на възможно най-ранен етап от атаката.“
Той добавя, че при много от наследените системи фокусът често е върху технологичните инструменти и доставчиците, за разлика от възможностите, които екипът по сигурността има, и посочва, че много от тези системи са напълно изолирани от останалата част на организацията.
„Когато работите напълно безмълвно и разединено, това поставя екипите ви напълно извън връзката с вашата организация и възпрепятства способността им да работят рамо до рамо с партньорските екипи“, казва той. „Способността за откриване не се мащабира. Необходимо е останалата част от организацията да е в крак с нас и да работи заедно с нас – това е, което определя съвременния подход за откриване и реагиране.“
Стот разделя изпълнението на модернизацията на откриването на заплахи и реагирането на четири етапа, като започва с оценка на текущото състояние на програмата.
„Това е моментът, в който научавате за вашата организация или за технологичните предизвикателства и предизвикателствата пред хората“, казва той. „Кои са заинтересованите страни за вашата организация и кой трябва да бъде привлечен?“
Едно от любимите му неща, свързани с работата в областта на реагирането при откриване, е, че има автоматичен начин за включване на други екипи от заинтересовани страни в основния екип по сигурността, защото в някакъв момент организацията ще преживее инцидент със сигурността.
„Тази идея, че всички са в екипа за реагиране при инцидент, когато има инцидент, наистина е вярна“, казва Стот. „В тази първа фаза трябва да се направи крачка назад и да се види от какво всъщност се нуждае организацията от откриване и реагиране.“
Във фазата на проектиране и разработване разбирането и съгласуването на наборите от умения са от решаващо значение, за да се избегне изграждането на инструменти, които надхвърлят възможностите на екипа.
„Как събирането на разузнавателни данни за заплахите си взаимодейства с лова на заплахи или инженеринга на откриването и как се съчетава с по-класическите неща за реагиране при инциденти – триаж, анализ, реакция, криминалистика?“ казва Стот.
Важно е да се спрете на конкретни възможности – например изолиране на хост или криминалистика на паметта, или възможност за откриване на аномалии.
„Помислете за различните технически възможности, от които ще се нуждаете за всеки от тези процеси, и след това определете как те ще си взаимодействат“, казва той.
В третата фаза закупуването и изграждането на продукта определят как планирането и процесите ще бъдат приложени на практика.
„Реалността е такава, че когато сте в процес на реагиране при откриване, вие изграждате нещо ново, все още трябва да сте оперативни, все още имате сигнали, все още имате инциденти“, казва Стот. „Може би ще искате да обмислите привличането на трета страна SOC, за да [си дадете] известно пространство за дишане, за да изградите програмата.“
Той казва, че едно добро решение на доставчика трябва да ви осигури 65% от пътя дотук, като добавя, че важното за всяка платформа е включването на съвременни принципи, които позволяват на екипите по сигурността да изграждат модификации на автоматизацията по начин, който смятат за подходящ.
„Тъй като съм инженер, обичам да строя – понякога това е, което наистина искам да правя“, признава той. „Добро напомняне за инженерите и хората, които работят в моя екип, е да кажат: „Да, ще го купим, но ще има много изграждане“.“
Последната фаза включва подобряване на процесите на оценка и отчитане чрез използване на показатели, които разказват за това как се изпълнява програмата.
„Важно е да имате пълна представа за различните видове техники за заплахи, които можете да откриете – и за тези, които не можете да откриете“, казва Стот. „Дори може би по-важно е да знаете какви среди можете да откривате и какви не можете да откривате. Може би дадена организация има добро покритие на крайните точки, но няма добро покритие в производствените си помещения.“
От негова гледна точка способността да се разкаже тази история също ще помогне да се подкрепят исканията за повече финансиране или допълнителен брой служители.
„Вместо да имате всички тези сигнали и да не предоставяте много смисъл за тях, вие предоставяте метрики за наблюдаемост, където можете да видите заплахите в различни среди и да откриете къде имате пропуски“, казва той.
Част от разказването на тази история е обвързването на всички тези показатели с основните наблюдавани заплахи, основните рискови среди и основните тенденции на инцидентите, които се наблюдават в момента.
„Това е, което ви е необходимо, за да изградите пътна карта на това, което знаете, че можете да видите, това, което не можете да видите, и да разработите визия за това как ще го постигнете технически“, казва той. „Ето какво ни е необходимо, за да го финансираме, ето какви документи трябва да имаме и ето какво ни е необходимо, за да можем да го изградим. С това се завършва цялото нещо.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.