Mengapa mengetahui info Anda sangat penting untuk strategi keamanan siber yang berkembang

Diterbitkan: 2022-01-06

Jaringan organisasi dapat menciptakan terabyte pengetahuan untuk setiap hari kerja dari rutinitas biasa, unit seluler terkait komunitas, sensor, dan penyedia berbasis cloud. Ada 1000 fitur detail dari berbagai sumber, jenis ini seperti world wide web dan log unit latihan pengguna, metadata, alamat IP, log router, antivirus pihak ke-3, dan semuanya berkembang dan berlipat ganda. Saat mereka melakukan ini, area serangan tumbuh. Akibatnya, tim TI menghadapi tekanan untuk bertindak cepat dalam mengumpulkan wawasan untuk melindungi jaringan mereka dan membatasi jebakan serangan siber.

Kesulitannya adalah bahwa dengan volume pengetahuan yang substansial seperti ini, para profesional stabilitas dapat berkembang menjadi kebingungan dan berjuang untuk menyusunnya untuk analisis. Paling sering, setelah mengatakan itu, mereka menemukan kesulitan untuk menyadari apa arti setiap tingkat informasi, apa implikasinya dan bagaimana mengubah peringatan menjadi tindakan. Meskipun merupakan praktik yang unggul untuk memantau dan memperoleh log untuk memeriksa latihan komunitas, apakah sebenarnya masuk akal untuk melakukannya jika tidak ada yang memahaminya? Jadi, bagaimana pengetahuan membantu meningkatkan pendekatan keamanan siber?

Melindungi komunitas

Saat ini, sangat sedikit serangan siber yang dilakukan pada satu titik akhir. Praktis semua harus melintasi jaringan, dan jika komunitas itu tidak diamankan dengan benar, peretas dapat masuk dan mengakibatkan cedera parah sebelum keluar. Namun, terlepas dari apakah mereka mengatur untuk memanipulasi unit log atau tidak, analis yang dipersiapkan dengan baik akan terus siap untuk melihat informasi komunitas dan menentukan apa yang sebenarnya telah terjadi. Jaringan adalah rumah bagi bukti paling vital, tetapi juga rute terbaik menuju jantung dan otak perusahaan. Jika dikompromikan, mereka dapat mengganggu fungsi, terutama implikasi ekonomi yang sangat serius dan kehilangan status. Oleh karena itu, penting bagi tim TI untuk mengetahui seperti apa jaringan yang sehat untuk kemudian dapat menempatkan anomali dan menutup celah melalui pemantauan standar dan pencarian ancaman proaktif. Beralih ke metode keamanan siber ekstra proaktif dengan pengetahuan di jantungnya adalah praktik paling efektif untuk melindungi perusahaan dari ancaman siber yang berkembang dan semakin maju setiap saat.

Memaksimalkan perlindungan titik akhir

Sementara sebagian besar peretas fokus pada komunitas dengan sendirinya untuk mendapatkan aksesibilitas ke barang-barang organisasi, beberapa peretas mengeksploitasi kerentanan titik akhir terlebih dahulu untuk kemudian menyusup ke jaringan. Baik properti maupun unit usaha kecil sangat rentan terhadap kejahatan dunia maya. Dari malware umum hingga serangan phishing, biasanya hanya diperlukan satu koneksi mencurigakan untuk mengungkap virus dan metode kompromi. Dengan bertambahnya jumlah unit IoT, pola BYOD yang terus populer dan modifikasi versi pekerjaan, grup TI memerlukan pengetahuan mendalam tentang setiap titik akhir untuk melindunginya dari ancaman yang melintasi komunitas perusahaan. Tidak peduli apakah grup membuat keputusan tentang antivirus unik, pemfilteran URL, atau kontrol aplikasi tambahan, keputusan ini harus dibuat berdasarkan bukti untuk memastikan metode perlindungan yang dijalankan pasti mengarah untuk membatasi risiko serangan siber.

Mempercepat respons insiden

Sebagai sebagian besar orang sekarang bekerja di web dalam beberapa kapasitas hidup mereka, adalah khusus bahwa insiden akan terwujud. Ketika mereka muncul, tidak satu pun dari mereka yang benar-benar harus diabaikan. Info sangat penting dicantumkan di sini karena penanggap insiden tidak dapat mulai menyelidiki kecuali jika mereka memiliki data untuk dianalisis. Di sisi lain, bahkan jika mereka memiliki informasi, apa yang akan mereka lakukan jika mereka tidak dapat memahaminya? Fakta yang disayangkan adalah: tidak ada sama sekali. Ketika penyelidikan menjadi tertunda, penyedia membuka diri mereka sendiri terhadap banyak bahaya. Diberikan lebih banyak waktu, peretas dapat mengkompromikan sistem, mencuri atau merusak pengetahuan ekstra sensitif, atau menyamar di dalam jaringan. Respons yang lambat juga dapat menyebabkan simpanan besar-besaran yang berbahaya, khususnya jika peringatan yang didahulukan dan parah masuk ke tumpukan. Oleh karena itu, kecepatan respons insiden tidak diragukan lagi sangat penting dalam menjaga keamanan informasi organisasi dari penyusup.

Investigasi forensik yang membantu

Terlepas dari apakah di seluruh dunia yang serius atau hanya dunia digital, menyelidiki tempat kejadian perkara kriminal bukanlah pekerjaan cepat. Namun, merupakan aspek yang sangat penting dari setiap sistem keamanan siber individu untuk membuat cerita akhir tentang apa yang terjadi dan mengapa. Memfilter karena banyaknya info log dan menyaring metadata, kelompok perlindungan perlu mendapatkan bukti jaringan, titik akhir, dan program sebanyak mungkin untuk menutup skenario. Aplikasi keamanan siber yang paling efektif akan membantu mendapatkan data historis terperinci dan sepenuhnya memahaminya untuk menginformasikan kisah insiden tersebut, menggunakan narasi untuk meningkatkan perlindungan masyarakat dan melindungi dari pelanggaran yang dapat terjadi di masa mendatang. Bagaimanapun, setiap kompromi dan setiap pelanggaran pengetahuan adalah pengalaman belajar yang benar-benar harus digunakan untuk mengubah strategi, instrumen, dan proses untuk memaksimalkan visibilitas, meningkatkan perburuan ancaman, dan mempercepat deteksi.

Membangun rasa suara

Kelompok keamanan dapat memperoleh sejumlah besar peringatan yang memberi tahu mereka tentang risiko prospektif. Beberapa dari mereka memang akan berlaku, orang lain didahulukan. Semakin banyak suara yang diperoleh grup, semakin besar kemungkinan kekurangan sesuatu yang penting. Konsentrasi yang terkenal pada pelanggaran informasi dapat dicegah jika staf keamanan tidak mengatasi volume pemberitahuan dari sejumlah metode stabilitas yang menunjukkan kesulitan yang signifikan. Dalam kasus Target, elemen kecepatan sangat penting untuk menghentikan pelanggaran, atau setidaknya meminimalkan pengaruhnya, tetapi kru tidak dapat menangani atau mengatur peringatan. Tantangan ini jauh lebih umum dan terus berlanjut di seluruh organisasi besar dan organisasi kecil.

Karena itu, peralatan perlindungan saat ini memberikan departemen TI tidak hanya akurasi pemberitahuan yang jauh lebih baik tetapi juga dengan konteks pengetahuan dan lebih banyak info pendukung untuk mempercepat reaksi insiden dan melakukan investigasi yang jauh lebih produktif. Membatasi tingkat kebisingan dan meningkatkan kualitasnya sangat membantu mengeksekusi pilihan yang jauh lebih baik dan lebih cepat. Metrik keamanan sangat kompleks, akibatnya peralatan yang digunakan oleh kelompok TI harus memberikan sejumlah penyederhanaan yang pasti. Dengan begitu, kepercayaan pada strategi keamanan siber dapat berkembang saat data berubah menjadi wawasan yang mudah dipahami dan dapat ditindaklanjuti. Dengan harga diri, kesederhanaan, dan prioritas peringatan yang jauh lebih baik, kelompok keamanan siber dapat diberdayakan untuk mengubah teknik mereka dari reaktif menjadi proaktif, tanpa pernah melewatkan penyusup yang mengintai. Diperlengkapi dengan instrumen yang tepat dapat membantu kelompok superior memahami informasi keselamatan, menghindari pelanggaran dengan benar dan menjaga perusahaan, karyawan, dan pembeli selama beberapa tahun ke depan.

Vincent Stoffer, Direktur Senior Manajemen Barang Dagangan, Corelight