Membangun perlindungan terdidik ancaman: kenali musuh Anda, medan perang Anda, dan diri Anda sendiri

Diterbitkan: 2021-12-28

Dalam lanskap ancaman dunia maya baru-baru ini, memahami dari mana kemungkinan serangan datang dan bagaimana mereka dapat menyerang perusahaan Anda lebih penting daripada sebelumnya.

Kejahatan dunia maya di seluruh dunia telah berkembang menghasilkan sekitar satu triliun dolar hambatan di negara keuangan planet ini – angka yang lebih besar daripada PDB Belgia.

Dengan bisnis yang memperoleh digitalisasi sebagian besar informasi dan prosedur mereka, semua properti elektronik itu sekarang memiliki peluang terkonsentrasi yang memiliki area permukaan serangan yang lebih besar daripada sebelumnya.

Produktivitas, kenyamanan, dan kinerja telah menjadi pendorong revolusi elektronik, membentuk dunia di mana kita semua saling terhubung dan di web berpadu mulus dengan offline. Serangan ransomware saluran pipa kolonial awal tahun ini adalah pengingat yang jelas tentang bagaimana serangan siber dapat berdampak pada planet fisik dengan mengeluarkan sumber bensin di pantai timur Amerika Serikat.

Pakar keamanan saat ini telah memperingatkan bahwa peretas dapat berkonsentrasi pada alat pacu jantung, pompa insulin, atau mobil yang terhubung. Titik akhir dapat setiap saat lebih beragam dan tersebar. Mereka bukan lagi waktu hanya PC dan server, tetapi juga telepon, kamera, alternatif HVAC, printer, jam tangan, speaker cerdas, dan banyak lagi. Risiko ransomware sekarang mewabah. Dan peningkatan cryptocurrency telah menghadirkan indikasi bagi penjahat dunia maya untuk melakukan transaksi anonim dan bebas bahaya.

Semua ini diambil secara kolektif telah membuat ekosistem bahaya bencana mungkin. Serangan dunia maya menjadi semakin menantang untuk dipulihkan dan memiliki dampak yang lebih besar. perusahaan perlu menjadi lebih pintar dan bertindak lebih cepat untuk secara proaktif menangani ancaman yang mereka hadapi.

Investasi dalam teknologi keamanan tidak cukup. Saat ini kami telah mengamati kebangkitan 'anggapan pelanggaran' di antara bisnis – transformasi ke arah peningkatan kemampuan respons dan pemulihan di samping rencana perlindungan siber reguler. Menyadari bahwa serangan bukanlah subjek 'jika', tetapi 'kapan', organisasi harus memiliki reaksi insiden yang andal, manajemen krisis, dan rencana pemulihan bencana.

Berada dalam posisi untuk menentukan, melindungi, mendeteksi seefektif bereaksi dan menjadi lebih baik dari ancaman sangat penting: kemampuan ini adalah blok pengaturan sistem ketahanan dunia maya yang komprehensif. Tetapi ketahanan siber juga tentang mengurangi ancaman – memahami aktivitas keamanan siber mana yang akan memiliki efek paling signifikan pada bisnis Anda dan memprioritaskan tindakan perlindungan Anda dengan tepat. Anda harus memiliki pengetahuan yang sangat baik tentang calon penyerang Anda dan teknik mereka untuk membuat rencana keamanan yang memiliki pengetahuan tentang ancaman dan bergantung pada ancaman.

Jadilah medan perang dunia maya siap

Peluang adalah kinerja probabilitas dan efek samping. Sebuah fungsi yang sangat sangat mungkin terwujud, tetapi memiliki efek minimal, menawarkan kemungkinan total yang jauh lebih kecil daripada fungsi yang tidak mungkin, tetapi akan menyebabkan cedera utama.

Akibatnya, perusahaan ingin terlebih dahulu mengevaluasi properti mana yang memiliki kemungkinan tertinggi untuk tetap diserang dan kedua, seberapa berharga aset ini bagi mereka. Anda hanya dapat sepenuhnya mengenali area yang dapat dieksploitasi jika Anda memahami kemungkinan diserang dengan menggunakan vektor serangan individu. Mempelajari musuh Anda dan bagaimana mereka berlari karenanya merupakan bagian penting dari pendekatan berbasis ancaman ini.

Anda perlu mengetahui musuh Anda, medan perang Anda, dan diri Anda sendiri. Bisnis harus hati-hati menganalisis stok individu mereka – informasi, metode, dan orang-orang di medan perang mereka – komunitas serta penyerang peluang mereka.

Menyadari musuh adalah bagian terberat. Siapa saja aktor berbahaya yang tertarik dengan perusahaan Anda dan mengapa mereka melihat Anda sebagai target yang menarik? Apa motivasi dan tujuan mereka? Bagaimana mereka melakukan pekerjaan – metode, pendekatan dan perawatan (TTPs) apa yang mereka gunakan dan bagaimana ini dapat diterapkan pada lingkungan alam Anda masing-masing? Di mana tepatnya mereka akan menyerang dan bagaimana mereka akan membahayakan bisnis Anda atau konsumen Anda?

Setelah organisasi mengetahui hal ini secara mendalam, Anda dapat menentukan prioritas yang dimodifikasi ancaman untuk kontrol dan investasi keselamatan yang benar. Mengantisipasi apa yang bisa dilakukan penyerang akan membantu mengidentifikasi celah dalam pertahanan Anda dan membantu memutuskan tempat untuk meningkatkan keamanan. Sebaliknya, sangat sulit untuk membangun perangkat lunak ketahanan siber yang produktif jika Anda tidak pernah memahami metode yang akan digunakan penyerang untuk melawan Anda.

Mengambil sikap menyerang dimulai dengan memahami musuhmu

Jadi, bagaimana cara Anda menunjukkan dengan tepat dan mengenal kemungkinan penyerang Anda? Alat Intelijen Ancaman umumnya memastikan untuk memberikan solusi, tetapi ketika mereka dapat memainkan peran penting dalam sistem keamanan apa pun, mereka akhirnya menjadi jawaban reaktif terutama berdasarkan indikator kompromi. Mereka memiliki kecenderungan untuk memuat terlalu banyak informasi tanpa filter, dengan indikator ancaman yang terus berubah. Mempelajari TTP musuh di sisi lain harus menjadi tindakan yang proaktif dan terarah. Untungnya, ada sejumlah sumber daya terbuka yang dapat diakses untuk membantu perusahaan memiliki pemahaman tentang bagaimana pelaku ancaman beroperasi.

Basis data MITER ATT&CK adalah posisi awal yang baik, sebagai perpustakaan yang cukup mudah diakses tentang cara dan strategi musuh yang diakui. Ini mencakup perincian tentang perilaku musuh dunia maya, yang mencerminkan berbagai fase siklus serangan dan platform yang diakui sebagai target mereka, dan memberikan kerangka kerja yang biasanya digunakan oleh pemburu bahaya, tim merah, dan pembela untuk mengklasifikasikan dan mengevaluasi serangan.

ThaiCERT memberikan ensiklopedia bermanfaat yang berbeda dari aktor bahaya. Namun, tidak ada stok komprehensif tunggal dari semua penyerang – dan musuh sering kali dapat berfungsi di bawah penyamaran yang berbeda.

Untuk beberapa wawasan terkini, pemasok perlindungan memantau para pelaku dan mempublikasikan informasi ini. Misalnya, profil ancaman ditawarkan tanpa biaya di papan Diskusi Siber Administrasi Bahaya Datto, di mana tim manajemen ancaman mereka membagikan profil bahaya, tanda tangan, dan detail tentang ancaman yang berkonsentrasi pada komunitas lokal MSP dan klien SMB mereka. Belum lama ini profil tambahan melibatkan tim peretas yang disponsori negara Rusia APT29, juga dianggap sebagai Cozy Bear dan Darkish Halo the LockBit yang dicintai ransomware dan kelompok kejahatan dunia maya terkenal Wizard Spider.

Setiap profil mencakup ikhtisar aktor, motif mereka, TTP, mitigasi atau pertahanan yang layak, opsi deteksi, dan aset tambahan. Para ilmuwan juga telah memetakan aktor kembali ke kerangka kerja MITRE ATT&CK dan Perlindungan Perlindungan Vital CIS untuk membuat info tersebut dapat ditindaklanjuti dengan mudah.

Tempatkan musuh dunia maya di wilayah mereka: pahami, prioritaskan, jaga, uji

Pada saat Anda telah memperoleh wawasan yang diperlukan tentang pelaku risiko mana yang mungkin mengintai, mensimulasikan metode mereka akan membantu Anda mengetahui di mana pun Anda memiliki peluang publisitas besar di perusahaan Anda – dan apa yang dapat Anda lakukan untuk mengurangi bahaya ini. Dengan merekayasa balik pelanggaran mereka sebelumnya, Anda dapat dengan percaya diri memprioritaskan dan melakukan kontrol keamanan yang paling efisien dibandingkan dengan aktor yang berbeda.

Untuk membantu memeriksa konfigurasi Anda, ada berbagai instrumen open-source gratis yang meniru musuh tertentu, seperti Caldera (yang memanfaatkan produk ATT&CK) atau Atomic Pink Group Pink Canary.

Emulasi musuh berbeda dari pen testing dan crimson teaming karena menggunakan skenario untuk menguji TTP musuh yang unik. Bisakah teknik orang dicegah atau dideteksi di sekitar Anda? Sangat penting untuk menyelidiki pengetahuan teknologi, proses dan orang untuk benar-benar memahami bagaimana semua pertahanan Anda bekerja bersama. Ulangi sistem ini sampai akhirnya Anda siap untuk memenangkan pertempuran melawan musuh ini.

UKM harus melakukan ini minimal setiap tahun kalender atau setiap kali ada ancaman baru utama, perusahaan yang jauh lebih besar dan MSP setiap tiga bulan, meskipun untuk perusahaan, program pertahanan informasi ancaman adalah upaya berkelanjutan dan kerja keras.

Selain itu, setiap perusahaan harus mematuhi Kontrol Keamanan Vital CIS – sebagai minimal, membayar cukup waktu untuk kontrol Grup Implementasi 1 (IG1) untuk kebersihan siber yang penting.

Faktor utama adalah hanya untuk memulai. Tidak perlu harus merasa bingung dengan usaha tersebut. Mulailah dengan evaluasi lubang langkah demi tindakan menuju CIS IG1: Bahkan menginvestasikan satu jam 7 hari pada solusi berbasis risiko dan ancaman akan membantu meningkatkan stabilitas menyeluruh Anda.

Pemahaman yang baik tentang pelaku buruk dalam profil risiko bisnis sangat penting untuk menyiapkan perangkat lunak keamanan teredukasi ancaman yang produktif yang memastikan ketahanan dunia maya. Ketika perusahaan mulai merasa lebih seperti peretas, mereka akan siap untuk membuat keputusan yang jauh lebih baik tentang bahaya dan akan lebih siap untuk melindungi diri mereka sendiri.

Ryan Weeks, CISO, Datto