Costruire una protezione educata alle minacce: conosci il tuo nemico, il tuo campo di battaglia e te stesso
Pubblicato: 2021-12-28
Nel recente panorama delle minacce informatiche, capire da dove potrebbero provenire i probabili attacchi e come potrebbero colpire la tua azienda è più importante che mai.
La criminalità informatica su base mondiale è cresciuta fino a generare circa un trilione di dollari per lo stato finanziario del pianeta, una cifra più consistente del PIL del Belgio.
Con le aziende che acquisiscono digitalizzato la maggior parte delle loro informazioni e procedure, tutte quelle proprietà elettroniche ora presentano una possibilità concentrata che ha una superficie d'assalto più ampia che mai.
Produttività, comfort e prestazioni sono stati i motori della rivoluzione elettronica, dando forma a un mondo in cui siamo tutti interconnessi e il web si fonde perfettamente con l'offline. L'assalto del ransomware dell'oleodotto coloniale all'inizio di quest'anno è stato un chiaro promemoria di come un attacco informatico può avere un effetto sul pianeta fisico eliminando la fonte di benzina sulla costa orientale degli Stati Uniti.
I guru della sicurezza hanno attualmente avvertito che gli hacker potrebbero concentrarsi su pacemaker, pompe per insulina o auto collegate. Gli endpoint stanno diventando in qualsiasi momento molto diversi e dispersi. Non sono più solo PC e server, ma anche telefoni, fotocamere, alternative HVAC, stampanti, orologi, altoparlanti intelligenti e molto altro. Il rischio ransomware è ormai endemico. E l'aumento delle criptovalute ha presentato l'indicazione per i criminali informatici di effettuare transazioni anonime e prive di rischi.
Tutto questo preso collettivamente ha reso probabile un ecosistema di pericolo catastrofico. Gli attacchi informatici stanno diventando sempre più difficili da cui riprendersi e hanno ripercussioni ancora più grandi. le aziende dovranno diventare più intelligenti e agire più rapidamente per affrontare in modo proattivo le minacce con cui stanno lottando.
Gli investimenti nelle tecnologie di sicurezza non sono sufficienti. Attualmente abbiamo osservato un risveglio di "presunta violazione" tra le aziende, una trasformazione nella direzione di aumentare le capacità di risposta e ripristino oltre ai normali piani di protezione informatica. Essendo consapevoli del fatto che un'aggressione non è una questione di "se", ma di "quando", le organizzazioni devono disporre di una reazione agli incidenti, di una gestione delle crisi e di piani di ripristino di emergenza affidabili.
Essere in grado di determinare, proteggere, rilevare con la stessa efficacia di reagire e migliorare dalle minacce è un imperativo: queste capacità sono i blocchi di impostazione di un sistema completo di resilienza informatica. Ma la resilienza informatica riguarda anche la riduzione delle minacce: capire quali attività di sicurezza informatica avrebbero gli effetti più significativi sulla tua attività e dare priorità alle tue misure di protezione in modo appropriato. Devi avere un'ottima conoscenza dei tuoi potenziali aggressori e delle loro tecniche per stabilire un piano di sicurezza consapevole delle minacce e dipendente dalle minacce.
Sii cyber battlefield tutto pronto
Il caso è una performance di probabilità ed effetti avversi. Una funzione che è estremamente molto probabile che si concretizzi, ma ha effetti minimi, offre un totale di possibilità notevolmente inferiore rispetto a una funzione che non è probabile, ma porterebbe a lesioni principali.
Di conseguenza, le aziende vogliono valutare in primo luogo quali delle loro proprietà hanno la più alta probabilità di rimanere attaccate e, in secondo luogo, quanto valgono per loro queste risorse. Puoi riconoscere totalmente la tua area sfruttabile solo se comprendi la probabilità di essere attaccato utilizzando un vettore di attacco individuale. Di conseguenza, lo studio del tuo avversario e del modo in cui corre è una sezione cruciale di questo approccio basato principalmente sulle minacce.
Avrai bisogno di conoscere il tuo nemico, il tuo campo di battaglia e da solo. le aziende devono analizzare con cautela le loro azioni individuali – informazioni, metodi e persone sul loro campo di battaglia – la comunità così come i loro attaccanti di opportunità.
Realizzare il nemico è la sezione più difficile. Chi sono gli attori del pericolo che sono affascinati dalla tua azienda e perché ti vedono come un bersaglio accattivante? Quali sono le loro motivazioni e obiettivi? Come svolgono il lavoro: quali metodi, approcci e trattamenti (TTP) utilizzano e come sono applicabili al tuo ambiente naturale individuale? Esattamente dove sarebbero più probabili aggredire e come comprometterebbero la tua attività oi tuoi consumatori?
Dopo che un'organizzazione ha acquisito questa conoscenza approfondita, può prendere una decisione sulle priorità modificate dalle minacce per i controlli e gli investimenti di sicurezza corretti. Anticipare ciò che l'attaccante potrebbe fare ti aiuterà a identificare le lacune nelle tue difese e a decidere dove aumentare la sicurezza. Al contrario, è estremamente difficile creare un software di resilienza informatica produttivo se non si comprendono i metodi che gli aggressori utilizzeranno contro di te.
Assumere una posizione offensiva inizia con la comprensione del tuo nemico
Quindi, come fai a individuare e familiarizzare con il tuo possibile aggressore? Gli strumenti di Threat Intelligence generalmente assicurano di fornire le soluzioni, ma quando possono svolgere un ruolo critico in qualsiasi sistema di sicurezza, alla fine sono risposte reattive basate principalmente su indicatori di compromissione. Hanno la tendenza a contenere troppe informazioni non filtrate, con indicatori di minaccia in continua evoluzione. Studiare i TTP di un avversario, d'altro canto, deve essere una linea d'azione proattiva e mirata. Per fortuna, ci sono una serie di risorse open-source accessibili per aiutare le aziende a comprendere come operano gli attori delle minacce.
I database MITRE ATT&CK sono una buona posizione di partenza, in quanto biblioteca abbastanza accessibile di metodi e strategie avversari riconosciuti. Include dettagli sulla condotta degli avversari informatici, che riflettono le diverse fasi del ciclo di vita di un assalto e le piattaforme che sono riconosciute a prendere di mira, e fornisce un framework comunemente utilizzato da cacciatori di pericoli, red teamer e difensori per classificare e valutare gli assalti.
Il ThaiCERT fornisce una diversa utile enciclopedia degli attori del pericolo. Tuttavia, non esiste un unico elenco completo di tutti gli aggressori e gli avversari possono spesso funzionare sotto sembianze distintive.
Per alcune delle informazioni più aggiornate, i fornitori di protezione monitorano gli attori e pubblicano queste informazioni. Ad esempio, i profili delle minacce sono offerti gratuitamente sul forum di discussione informatica di Danger Administration di Datto, dove il team di gestione delle minacce condivide profili di pericolo, firme e dettagli sulle minacce che si concentrano sulla comunità locale MSP e sui loro clienti PMI. Non molto tempo fa altri profili coinvolgono il team di hacker sponsorizzato dallo stato russo APT29, considerato anche Cozy Bear e Darkish Halo, il LockBit amati del ransomware e del famigerato gruppo di criminalità informatica Wizard Spider.
Ogni profilo include una panoramica degli attori, le loro motivazioni, TTP, mitigazioni o difese fattibili, opzioni di rilevamento e risorse aggiuntive. Gli scienziati hanno anche mappato gli attori sul framework MITRE ATT&CK e sulle misure di salvaguardia della protezione vitale CIS per rendere le informazioni facilmente utilizzabili.
Posiziona gli avversari informatici nella loro area: comprendi, assegna priorità, proteggi, testa
Nel momento in cui hai acquisito le informazioni necessarie su quali attori del rischio potrebbero essere in agguato, simulare i loro metodi ti aiuterà a capire dove hai la pubblicità più importante nella tua azienda e cosa puoi fare per mitigare questo rischio. Reingegnerizzando le loro precedenti violazioni, puoi stabilire con sicurezza le priorità ed eseguire i controlli di sicurezza più efficienti in opposizione a attori distinti.
Per facilitare l'esame delle tue configurazioni, esiste una gamma di strumenti gratuiti open-source che emulano avversari specifici, come Caldera (che sfrutta il prodotto ATT&CK) o Atomic Pink Group di Pink Canary.
L'emulazione dell'avversario è distinta dal test della penna e dal teaming cremisi in quanto utilizza uno scenario per testare i TTP di un avversario unico. Le tecniche delle persone possono essere prevenute o rilevate nell'ambiente circostante? È fondamentale sondare il know-how tecnologico, i processi con la stessa efficacia delle persone per riconoscere assolutamente come funzionano tutte le tue difese insieme. Ripeti questo sistema finché non sei finalmente pronto a vincere la battaglia contro questo avversario.
Le PMI devono farlo almeno quando un anno solare o ogni volta che c'è una nuova minaccia principale, società molto più grandi e MSP trimestrali, sebbene per le imprese un programma di difesa informato sulla minaccia sia uno sforzo continuo e un duro lavoro.
Inoltre, qualsiasi azienda deve attenersi ai controlli di sicurezza vitale della CSI, come minimo, dedicando abbastanza tempo ai controlli del gruppo di implementazione 1 (IG1) per la pulizia informatica cruciale.
Il fattore principale è semplicemente iniziare. Non c'è bisogno di sentirsi confusi dall'impresa. Inizia con una valutazione del buco mossa per azione verso CIS IG1: anche investire un'ora e 7 giorni su una soluzione basata sul rischio e sulla minaccia ti aiuterà ad aumentare la tua stabilità a tutto tondo.
Una buona conoscenza degli attori poveri nel profilo di rischio di un'azienda è fondamentale per creare un software di sicurezza produttivo e istruito sulle minacce che assicuri la resilienza informatica. Quando le aziende inizieranno a sentirsi più simili agli hacker, saranno pronte a prendere decisioni molto più consapevoli dei rischi e saranno attrezzate per proteggersi da sole.
Ryan Weeks, CISO, Datto