Konstruowanie ochrony opartej na zagrożeniach: poznaj swojego wroga, swoje pole bitwy i siebie
Opublikowany: 2021-12-28
W niedawnym krajobrazie cyberzagrożeń zrozumienie, skąd prawdopodobnie mogą pochodzić ataki i jak mogą one uderzyć w Twoją firmę, jest ważniejsze niż kiedykolwiek wcześniej.
Cyberprzestępczość na skalę światową urosła, generując koszt około jednego biliona dolarów na kondycję finansową planety – liczbę większą niż PKB Belgii.
Ponieważ firmy nabywające cyfrową większość swoich informacji i procedur, cała ta własność elektroniczna ma obecnie skoncentrowaną szansę, która ma większą powierzchnię ataku niż kiedykolwiek wcześniej.
Produktywność, komfort i wydajność były motorami rewolucji elektronicznej, kształtując świat, w którym wszyscy jesteśmy ze sobą połączeni, a internet płynnie łączy się z offline. Atak oprogramowania ransomware z użyciem rurociągu kolonialnego na początku tego roku był wyraźnym przypomnieniem tego, jak cyberatak może wpłynąć na fizyczną planetę, ponieważ posiada źródło benzyny na wschodnim wybrzeżu Stanów Zjednoczonych.
Obecnie guru bezpieczeństwa ostrzegają, że hakerzy mogą skoncentrować się na rozrusznikach serca, pompach insulinowych lub połączonych samochodach. Punkty końcowe stają się w każdej chwili bardziej zróżnicowane i rozproszone. To już nie tylko komputery i serwery, ale także telefony, kamery, alternatywy HVAC, drukarki, zegarki, inteligentne głośniki i wiele więcej. Ryzyko ransomware jest teraz powszechne. A wzrost liczby kryptowalut pokazał, że cyberprzestępcy mogą przeprowadzać anonimowe, wolne od zagrożeń transakcje.
Wszystko to razem wzięte uczyniło prawdopodobnym ekosystem katastrofalnego niebezpieczeństwa. Cyberataki stają się coraz trudniejsze do odzyskania i mają jeszcze większe reperkusje. firmy będą musiały być mądrzejsze i działać szybciej, aby proaktywnie radzić sobie z zagrożeniami, z którymi się borykają.
Inwestycje w technologie bezpieczeństwa nie są wystarczające. Obecnie zaobserwowaliśmy wśród firm przebudzenie „zakładania naruszenia” – transformację w kierunku zwiększenia możliwości reagowania i odzyskiwania, oprócz regularnych planów ochrony cybernetycznej. Mając świadomość, że atak nie jest przedmiotem „jeśli”, ale „kiedy”, organizacje muszą mieć niezawodne plany reagowania na incydenty, zarządzania kryzysowego i odzyskiwania po awarii.
Niezbędne jest uzyskanie możliwości określania, ochrony, wykrywania tak skutecznie, jak i reagowania na zagrożenia oraz lepszego przeciwdziałania zagrożeniom: te możliwości stanowią elementy składowe kompleksowego systemu odporności cybernetycznej. Ale odporność cybernetyczna to także zmniejszanie zagrożeń — zrozumienie, które działania w zakresie cyberbezpieczeństwa będą miały najbardziej znaczący wpływ na Twoją firmę i odpowiednie ustalenie priorytetów środków ochrony. Musisz mieć bardzo dobrą wiedzę na temat potencjalnych napastników i ich technik, aby ustanowić czytelny i zależny od zagrożeń plan bezpieczeństwa.
Bądź cyberpolem bitwy, wszystko gotowe
Szansa to przedstawienie prawdopodobieństwa i negatywnych skutków. Funkcja, która z dużym prawdopodobieństwem się zmaterializuje, ale ma minimalne skutki, oferuje znacznie mniejsze całkowite prawdopodobieństwo niż funkcja, która jest mało prawdopodobna, ale prowadziłaby do głównego urazu.
W związku z tym firmy chcą po pierwsze ocenić, które z ich nieruchomości mają największe prawdopodobieństwo pozostania zaatakowanym, a po drugie, jak wartościowe są dla nich te aktywa. Obszar, który można wykorzystać, można całkowicie rozpoznać tylko wtedy, gdy zrozumiesz prawdopodobieństwo, że zostaniesz zaatakowany przy użyciu indywidualnego wektora ataku. Badanie przeciwnika i sposobu, w jaki działa, jest w konsekwencji kluczową częścią tego podejścia opartego na zagrożeniach.
Będziesz musiał poznać swojego wroga, swoje pole bitwy i na własną rękę. firmy muszą ostrożnie przeanalizować swoje indywidualne zasoby – informacje, metody i osoby, ich pole bitwy – społeczność, a także osoby atakujące okazjonalnie.
Najtrudniejszą częścią jest uświadomienie sobie wroga. Kim są niebezpieczni aktorzy, którzy fascynują się Twoją korporacją i dlaczego postrzegają Cię jako przyciągający wzrok cel? Jakie są ich motywacje i cele? Jak wykonują swoją pracę – jakich metod, podejść i zabiegów (TTP) używają i jak mają one zastosowanie do indywidualnego środowiska naturalnego? Gdzie dokładnie dokonaliby napaści i jak naraziliby na szwank Twoją firmę lub Twoich konsumentów?
Gdy organizacja zdobędzie tę dogłębną wiedzę, może zdecydować się na zmodyfikowane zagrożenia dotyczące priorytetów właściwych kontroli bezpieczeństwa i inwestycji. Przewidywanie tego, co może zrobić napastnik, pomoże zidentyfikować luki w twojej obronie i pomóc w podjęciu decyzji o miejscu zwiększenia bezpieczeństwa. I odwrotnie, niezwykle trudno jest zbudować wydajne oprogramowanie zapewniające cyberodporność, jeśli nigdy nie zrozumiesz metod, którymi atakujący będą używać przeciwko tobie.
Przyjmowanie ofensywnej postawy zaczyna się od zrozumienia wroga
Jak więc zabrać się za wskazanie potencjalnego napastnika i zapoznanie się z nim? Narzędzia do analizy zagrożeń generalnie zapewniają dostarczenie rozwiązań, ale kiedy mogą odegrać kluczową rolę w dowolnym systemie bezpieczeństwa, ostatecznie stanowią reaktywne odpowiedzi oparte głównie na wskaźnikach kompromisu. Mają tendencję do przechowywania zbyt wielu niefiltrowanych informacji, a wskaźniki zagrożeń stale się zmieniają. Z drugiej strony badanie TTP przeciwnika musi być proaktywnym i ukierunkowanym kierunkiem działania. Na szczęście istnieje wiele otwartych zasobów, które pomagają korporacjom zrozumieć, w jaki sposób działają groźni aktorzy.
Bazy danych MITER ATT&CK to dobry początek, jako dość przystępna biblioteka uznanych dróg i strategii przeciwnika. Zawiera szczegółowe informacje na temat postępowania cyberprzeciwników, odzwierciedlając różne fazy cyklu życia napaści i platformy, na które są uznani celem, oraz zapewnia ramy, z których powszechnie korzystają łowcy zagrożeń, czerwone drużyny i obrońcy do klasyfikowania i oceny ataków.
ThaiCERT podaje inną pomocną encyklopedię niebezpiecznych aktorów. Jednak nie ma jednego, wszechstronnego zbioru wszystkich atakujących – a przeciwnicy często mogą działać pod charakterystycznymi postaciami.
W celu uzyskania najbardziej aktualnych informacji dostawcy ochrony monitorują podmioty i publikują te informacje. Na przykład profile zagrożeń są oferowane bezpłatnie na forum dyskusyjnym Datto Administracji ds. Zagrożeń dotyczących cyberbezpieczeństwa, gdzie zespół zarządzający zagrożeniami udostępnia profile zagrożeń, sygnatury i szczegóły zagrożeń, które koncentrują się na lokalnej społeczności MSP i ich klientach z sektora SMB. Nie tak dawno dodatkowe profile obejmowały sponsorowaną przez państwo rosyjską drużynę hakerów APT29, uważaną również za Cozy Bear i Darkish Halo the LockBit, kochających oprogramowanie ransomware i niesławną grupę cyberprzestępczą Wizard Spider.
Każdy profil zawiera przegląd aktorów, ich motywy, TTP, możliwe środki łagodzące lub obrony, opcje wykrywania i dodatkowe zasoby. Naukowcy zmapowali również podmioty z powrotem do struktury MITER ATT&CK i CIS Vital Protection Safeguards, aby informacje były łatwe do zastosowania.
Umieść cyberprzeciwników na swoim obszarze: zrozum, ustal priorytety, strzeż, testuj
W czasie, gdy uzyskałeś wymagane informacje na temat tego, którzy podmioty ryzyka mogą się czaić, symulacja ich metod pomoże ci dowiedzieć się, gdzie masz największą szansę na rozgłos w swojej korporacji – i co możesz zrobić, aby złagodzić to zagrożenie. Dzięki inżynierii wstecznej poprzednich naruszeń, możesz bez obaw ustalać priorytety i przeprowadzać najskuteczniejsze kontrole bezpieczeństwa w przeciwieństwie do różnych podmiotów.
Aby ułatwić badanie konfiguracji, istnieje szereg darmowych instrumentów typu open-source, które emulują określonych przeciwników, takich jak Caldera (która wykorzystuje produkt ATT&CK) lub Atomic Pink Group firmy Pink Canary.
Emulacja przeciwnika różni się od testów piórem i szkarłatnego tworzenia zespołów tym, że wykorzystuje scenariusz do testowania TTP unikatowego przeciwnika. Czy można zarówno zapobiegać technikom ludzkim, jak i wykrywać je w swoim otoczeniu? Niezbędne jest zbadanie technologicznego know-how, procesów tak skutecznie, jak ludzie, aby całkowicie rozpoznać, jak wszystkie twoje mechanizmy obronne działają razem. Powtarzaj ten system, aż w końcu będziesz gotowy na walkę z tym przeciwnikiem.
MŚP muszą to zrobić przynajmniej, gdy rok kalendarzowy lub za każdym razem, gdy pojawia się nowe główne zagrożenie, znacznie większe korporacje i MSP raz na kwartał, chociaż dla przedsiębiorstw program obronny oparty na zagrożeniach jest ciągłym wysiłkiem i ciężką pracą.
Ponadto każda firma musi przestrzegać zasad bezpieczeństwa CIS Vital Security Controls – jako minimum, wypłacając wystarczającą ilość czasu na kontrole grupy implementacyjnej 1 (IG1) w celu zapewnienia kluczowej cyberczystości.
Podstawowym czynnikiem jest po prostu zacząć. Nie trzeba czuć się zdezorientowanym przez przedsięwzięcie. Zacznij od oceny dołków krok po działaniu w kierunku CIS IG1: nawet zainwestowanie godziny na 7 dni w rozwiązanie oparte na ryzyku i zagrożeniach pomoże zwiększyć wszechstronną stabilność.
Dobra znajomość słabych podmiotów w profilu ryzyka firmy jest niezbędna do stworzenia wydajnego oprogramowania zabezpieczającego, które zapewnia cyberodporność. Gdy firmy zaczną bardziej przypominać hakerów, będą gotowe do podejmowania znacznie lepszych decyzji uwzględniających zagrożenia i będą lepiej wyposażone, aby same się chronić.
Ryan Weeks, CISO, Datto