Търсене
Close this search box.

Откриване и реагиране, което се измерва: Подход с 4 компонента

Борбата със съвременните нападатели изисква стабилна и всеобхватна програма за откриване и реагиране, но предизвикателства като умора от предупрежденията, скъпи инструменти, трудности при набирането на таланти и претоварен екип възпрепятстват напредъка.

На тазгодишното издание на Black Hat Europe Алин Стот, старши щатен инженер в Airbnb, ще обсъди как една подходяща рамка може да помогне на лидерите в областта на ИТ сигурността да развият основните възможности на една модерна програма на фона на непрестанния прилив на инциденти и взискателните графици.

От реактивен към проактивен

„В миналото програмите за откриване и реагиране са били много реактивни, фокусирани върху сигнали, които показват, че нещо лошо вече се е случило“, обяснява Стот. „Искате да сте по-скоро проактивни и не просто да правите лов на заплахи, а да възприемете философия за откриване, която се фокусира върху откриването на заплахите на възможно най-ранен етап от атаката.“

Той добавя, че при много от наследените системи фокусът често е върху технологичните инструменти и доставчиците, за разлика от възможностите, които екипът по сигурността има, и посочва, че много от тези системи са напълно изолирани от останалата част на организацията.

„Когато работите напълно безмълвно и разединено, това поставя екипите ви напълно извън връзката с вашата организация и възпрепятства способността им да работят рамо до рамо с партньорските екипи“, казва той. „Способността за откриване не се мащабира. Необходимо е останалата част от организацията да е в крак с нас и да работи заедно с нас – това е, което определя съвременния подход за откриване и реагиране.“

Стот разделя изпълнението на модернизацията на откриването на заплахи и реагирането на четири етапа, като започва с оценка на текущото състояние на програмата.

„Това е моментът, в който научавате за вашата организация или за технологичните предизвикателства и предизвикателствата пред хората“, казва той. „Кои са заинтересованите страни за вашата организация и кой трябва да бъде привлечен?“

Едно от любимите му неща, свързани с работата в областта на реагирането при откриване, е, че има автоматичен начин за включване на други екипи от заинтересовани страни в основния екип по сигурността, защото в някакъв момент организацията ще преживее инцидент със сигурността.

„Тази идея, че всички са в екипа за реагиране при инцидент, когато има инцидент, наистина е вярна“, казва Стот. „В тази първа фаза трябва да се направи крачка назад и да се види от какво всъщност се нуждае организацията от откриване и реагиране.“

Разбиране и съгласуване на наборите от умения

Във фазата на проектиране и разработване разбирането и съгласуването на наборите от умения са от решаващо значение, за да се избегне изграждането на инструменти, които надхвърлят възможностите на екипа.

„Как събирането на разузнавателни данни за заплахите си взаимодейства с лова на заплахи или инженеринга на откриването и как се съчетава с по-класическите неща за реагиране при инциденти – триаж, анализ, реакция, криминалистика?“ казва Стот.

Важно е да се спрете на конкретни възможности – например изолиране на хост или криминалистика на паметта, или възможност за откриване на аномалии.

„Помислете за различните технически възможности, от които ще се нуждаете за всеки от тези процеси, и след това определете как те ще си взаимодействат“, казва той.

Купуване и създаване на продукти

В третата фаза закупуването и изграждането на продукта определят как планирането и процесите ще бъдат приложени на практика.

„Реалността е такава, че когато сте в процес на реагиране при откриване, вие изграждате нещо ново, все още трябва да сте оперативни, все още имате сигнали, все още имате инциденти“, казва Стот. „Може би ще искате да обмислите привличането на трета страна SOC, за да [си дадете] известно пространство за дишане, за да изградите програмата.“

Той казва, че едно добро решение на доставчика трябва да ви осигури 65% от пътя дотук, като добавя, че важното за всяка платформа е включването на съвременни принципи, които позволяват на екипите по сигурността да изграждат модификации на автоматизацията по начин, който смятат за подходящ.

„Тъй като съм инженер, обичам да строя – понякога това е, което наистина искам да правя“, признава той. „Добро напомняне за инженерите и хората, които работят в моя екип, е да кажат: „Да, ще го купим, но ще има много изграждане“.“

Показатели, които разказват история

Последната фаза включва подобряване на процесите на оценка и отчитане чрез използване на показатели, които разказват за това как се изпълнява програмата.

„Важно е да имате пълна представа за различните видове техники за заплахи, които можете да откриете – и за тези, които не можете да откриете“, казва Стот. „Дори може би по-важно е да знаете какви среди можете да откривате и какви не можете да откривате. Може би дадена организация има добро покритие на крайните точки, но няма добро покритие в производствените си помещения.“

От негова гледна точка способността да се разкаже тази история също ще помогне да се подкрепят исканията за повече финансиране или допълнителен брой служители.

„Вместо да имате всички тези сигнали и да не предоставяте много смисъл за тях, вие предоставяте метрики за наблюдаемост, където можете да видите заплахите в различни среди и да откриете къде имате пропуски“, казва той.

Част от разказването на тази история е обвързването на всички тези показатели с основните наблюдавани заплахи, основните рискови среди и основните тенденции на инцидентите, които се наблюдават в момента.

„Това е, което ви е необходимо, за да изградите пътна карта на това, което знаете, че можете да видите, това, което не можете да видите, и да разработите визия за това как ще го постигнете технически“, казва той. „Ето какво ни е необходимо, за да го финансираме, ето какви документи трябва да имаме и ето какво ни е необходимо, за да можем да го изградим. С това се завършва цялото нещо.“

 

 

Източник: DARKReading

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
Бъдете социални
Още по темата
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
06/09/2024

Как CISO могат ефективно д...

Графиката за устойчивост на близост предлага...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!