サイバーセキュリティ戦略を成功させるには、情報に精通していることが重要である理由
公開: 2022-01-06
組織のネットワークは、一般的なルーチン、コミュニティ関連のセルラーユニット、センサー、クラウド中心のプロバイダーから、毎日の就業時間にテラバイトの知識を生み出すことができます。 複数のリソースからの1000の詳細機能があります。これらのタイプは、ユーザーエクササイズのワールドワイドウェブおよびユニットログ、メタデータ、IPアドレス、ルーターログ、サードパーティのアンチウイルスであり、すべて進化して増殖します。 これを行うと、攻撃領域が拡大します。 その結果、ITチームは、収集した洞察に迅速に対応してネットワークを保護し、サイバー攻撃の落とし穴を制限するというプレッシャーに直面しています。
難しいのは、この種のかなりの量の知識があると、安定性の専門家は混乱し、分析のためにそれを照合するために戦う可能性があるということです。 最も一般的には、そうは言っても、ほぼすべての情報レベルが通常何を意味するのか、その影響は何か、アラートをアクションに変換する方法を理解するのは難しいことを明らかにしています。 コミュニティの運動をチェックするためにログを監視および取得することは優れた方法ですが、実際、誰もそれらを理解していない場合はそうすることは理にかなっていますか? では、知識はサイバーセキュリティアプローチの改善にどのように役立つのでしょうか。
コミュニティのシールド
現在、単一のエンドポイントで非常に多くのサイバー攻撃が行われています。 事実上、すべてがネットワークを通過する必要があり、そのコミュニティが正しく保護されていない場合、ハッカーが侵入して、買収する前に深刻な被害をもたらす可能性があります。 それでも、ユニットのログを操作するように規制しているかどうかに関係なく、完全にギアを備えたアナリストは、コミュニティ情報を調べて、正確に何が起こったかを判断する準備ができています。 ネットワークは最も重要な証拠の本拠地ですが、会社の冠状動脈性心臓と脳への最良のルートでもあります。 危険にさらされた場合、それらは機能を混乱させる可能性があり、主に深刻な経済的影響と脱落状態になります。 したがって、ITチームは、正常なネットワークがどのように見えるかを知って、標準の監視とプロアクティブな脅威検索によって異常を配置し、ギャップを埋めることができるようにすることが重要です。 知識を中心とした非常にプロアクティブなサイバーセキュリティ手法に切り替えることは、進化し、進歩するサイバー脅威から企業を保護するための最も効果的な方法です。
エンドポイント保護の最大化
ほとんどのハッカーは、組織の所有物にアクセスするためにコミュニティ自体に焦点を当てていますが、エンドポイントの脆弱性を最初に悪用してからネットワークに侵入するハッカーもいます。 これらの不動産と中小企業の両方がサイバー犯罪に著しく傾いています。 一般的なマルウェアからフィッシング攻撃まで、通常、疑わしい接続を1つだけ使用して、ウイルスを展開し、方法を侵害します。 IoTユニットの数が増え、継続的に人気のあるBYODパターンがあり、ジョブバージョンの実行が変更されているため、ITグループは、企業コミュニティを通過する脅威に対抗するために、各エンドポイントに関する深い知識を必要としています。 グループが独自のウイルス対策、URLフィルタリング、または追加のアプリケーションコントロールを決定するかどうかに関係なく、実行される保護方法がサイバー攻撃のリスクを確実に制限することを保証するために、これらの決定は証拠に基づいて行われる必要があります。
インシデント対応のダッシュアップ
現在、大多数の人が生活の中である程度の能力でWebに取り組んでいるため、インシデントが具体化するのは具体的です。 それらが発生したときに、それらのどれも実際に無視されるべきではありません。 インシデントレスポンダーは分析するデータがない限り調査を開始できないため、ここに記載されている情報は非常に重要です。 一方、情報を持っていても、理解できないとどうなるのでしょうか。 残念なことに、何もありません。 調査が遅れるにつれ、プロバイダーは多くの危険にさらされています。 より多くの時間が供給されると、ハッカーはシステムを危険にさらしたり、非常に機密性の高い知識を盗んだり台無しにしたり、ネットワーク内で偽装したりする可能性があります。 応答が遅いと、特にかなりの優先順位と重大なアラートが山積みになった場合に、危険なほど大量のバックログが発生する可能性があります。 したがって、侵入者から組織情報を安全に維持するには、インシデント対応のペースが間違いなく重要です。
役立つ法医学調査
深刻な全世界であろうとデジタルだけであろうと、犯罪現場を調査することは簡単な仕事ではありません。 それにもかかわらず、何が起こったのか、そしてその理由を最後まで説明することは、個々のサイバーセキュリティシステムの非常に重要な側面です。 数え切れないほどの数の情報ログの結果としてフィルタリングし、メタデータを抽出するために、保護グループは、シナリオをシャットダウンする可能性が高い限り、かなりのネットワーク、エンドポイント、およびプログラムの証拠を取得する必要があります。 最も効果的なサイバーセキュリティアプリケーションは、詳細な履歴データを取得し、それを完全に把握してインシデントのストーリーを通知し、ナラティブを使用してコミュニティの保護を改善し、予測可能な将来の違反の発生を防ぎます。 結局のところ、すべての妥協と各知識の侵害は、可視性を最大化し、脅威の狩猟を促進し、検出をスピードアップするための戦略、手段、およびプロセスを微調整するために実際に利用されるべき研究経験です。
音の感覚を構築する
安全グループは、予想されるリスクについて通知する膨大な数のアラートを取得できます。 それらのいくつかは確かに適用可能であり、他の人々は優先順位を下げました。 グループが得る音が多ければ多いほど、重要なものが欠けている可能性が高くなります。 悪名高い情報侵害への集中は、セキュリティスタッフが重大な困難を指摘する多くの安定化方法からの大量の通知に打ち勝たなければ、防ぐことができたはずです。 Targetの場合、違反を阻止するため、または少なくともその影響を最小限に抑えるために速度要素が重要でしたが、乗組員はアラートに対処またはトリアージすることしかできませんでした。 この課題ははるかに蔓延しており、主要な組織や小規模な組織全体で非常に現在も続いています。
そうは言っても、今日の保護装置は、IT部門に通知の正確性を大幅に向上させるだけでなく、インシデント対応をスピードアップし、はるかに生産的な調査を実行するための知識コンテキストとより多くのサポート情報を提供します。 ノイズのレベルを制限し、その優れた機能を大幅に強化することで、はるかに優れた、より高速な選択を実行できます。 安全性の測定基準は複雑であるため、ITグループが使用する機器は確実に簡素化する必要があります。 そうすることで、データが理解しやすく実用的な洞察に変わるにつれて、サイバーセキュリティ戦略への信頼が高まる可能性があります。 自尊心、シンプルさ、そしてはるかに優れた警告の優先順位付けにより、サイバーセキュリティグループは、潜んでいる侵入者を見逃すことなく、技術を事後対応から事前対応に移行することができます。 適切な機器を装備することで、グループは安全情報を優れた方法で理解し、侵害を適切に回避し、企業、従業員、買い物客を数年間保護することができます。
Corelight 、商品管理担当シニアディレクター、Vincent Stoffer