Dlaczego znajomość informacji ma kluczowe znaczenie dla dobrze prosperującej strategii cyberbezpieczeństwa

Opublikowany: 2022-01-06

Sieci organizacyjne mogą tworzyć terabajty wiedzy na każdy dzień roboczy z typowych procedur, związanych ze społecznością jednostek komórkowych, czujników i dostawców skoncentrowanych na chmurze. Istnieją tysiące szczegółowych funkcji z wielu zasobów, takich jak ogólnoświatowa sieć i dzienniki aktywności użytkowników, metadane, adresy IP, dzienniki routerów, programy antywirusowe innych firm, a wszystkie one ewoluują i mnożą się. Gdy to robią, obszar ataku rośnie. W rezultacie zespoły IT stają przed presją szybkiego działania na podstawie zebranych informacji, aby chronić swoje sieci i ograniczać pułapki cyberataków.

Trudność polega na tym, że przy tego rodzaju dużej ilości wiedzy specjaliści ds. stabilności mogą stać się zdezorientowani i walczyć o zebranie jej do analizy. Mówiąc to, najczęściej odkrywają, że trudno jest zdać sobie sprawę z tego, co zwykle oznacza każdy poziom informacji, jakie są jego konsekwencje i jak przekonwertować alerty na działanie. Chociaż lepszą praktyką jest monitorowanie i uzyskiwanie dzienników w celu sprawdzenia ćwiczeń społeczności, czy rzeczywiście ma to sens, jeśli nikt ich nie rozumie? W jaki więc sposób wiedza pomaga ulepszyć podejścia do cyberbezpieczeństwa?

Ochrona społeczności

W tej chwili bardzo niewiele cyberataków jest przeprowadzanych na pojedynczym punkcie końcowym. Praktycznie wszyscy muszą przejść przez sieć, a jeśli ta społeczność nie jest odpowiednio zabezpieczona, hakerzy mogą się do niej dostać i spowodować poważne obrażenia przed przejęciem. Mimo to, niezależnie od tego, czy regulują manipulowanie dziennikami jednostek, czy nie, doskonale przygotowani analitycy będą nadal gotowi do wglądu w informacje społeczności i ustalenia, co dokładnie się wydarzyło. Sieci są domem najważniejszych dowodów, ale także najlepszą drogą do serca i mózgu firmy. Jeśli zostaną naruszone, mogą zakłócać funkcje, powodując naprawdę poważne konsekwencje ekonomiczne i status szopy. Dlatego ważne jest, aby zespoły IT wiedziały, jak wygląda zdrowa sieć, aby móc następnie umieszczać anomalie i zamykać luki za pomocą standardowego monitorowania i proaktywnego wyszukiwania zagrożeń. Przejście na bardziej proaktywne metody cyberbezpieczeństwa oparte na wiedzy jest najskuteczniejszą praktyką ochrony firm przed ewoluującymi i stopniowo zaawansowanymi zagrożeniami cybernetycznymi.

Maksymalizacja ochrony punktów końcowych

Podczas gdy większość hakerów skupia się na samej społeczności, aby uzyskać dostęp do elementów organizacji, niektórzy najpierw wykorzystują luki w punktach końcowych, aby następnie infiltrować sieci. Zarówno te jednostki własności, jak i małe firmy są wyjątkowo skłonne do cyberprzestępczości. Od zwykłego złośliwego oprogramowania po ataki phishingowe, zwykle wystarczy jedno podejrzane połączenie, aby ujawnić wirusa i złamać metody. Wraz z rosnącą liczbą jednostek IoT, stale popularnym wzorcem BYOD i modyfikowaniem wersji wykonujących zadania, zespoły IT wymagają głębokiej wiedzy o każdym punkcie końcowym, aby chronić go przed zagrożeniami przemierzającymi społeczność korporacyjną. Bez względu na to, czy grupy podejmą decyzję w sprawie unikalnego programu antywirusowego, filtrowania adresów URL czy dodatkowych kontroli aplikacji, decyzje te muszą być oparte na dowodach, aby zapewnić, że zastosowane metody ochrony z pewnością ograniczą ryzyko cyberataków.

Szybka reakcja na incydent

Ponieważ zdecydowana większość osób pracuje obecnie w sieci w jakimś okresie swojego życia, specyficzne jest, że incydenty się zmaterializują. Gdy się pojawiają, żaden z nich nie powinien być tak naprawdę lekceważony. Informacje są tutaj wymienione jako krytyczne, ponieważ osoby odpowiadające na incydenty nie mogą rozpocząć dochodzenia, chyba że mają dane do przeanalizowania. Z drugiej strony, nawet jeśli mają informacje, co prawdopodobnie z nimi zrobią, jeśli po prostu nie będą mogli ich zrozumieć? Niefortunny fakt jest taki: w ogóle nic. Ponieważ dochodzenia stają się opóźnione, dostawcy sami otwierają się na wiele niebezpieczeństw. Mając znacznie więcej czasu, hakerzy mogą włamać się do systemów, ukraść lub zniszczyć bardzo poufną wiedzę lub ukryć się w sieci. Powolne reakcje mogą również spowodować niebezpiecznie ogromne zaległości, w szczególności w przypadku znacznego uprzedzenia i poważnych alertów. Dlatego tempo reakcji na incydenty jest bezsprzecznie kluczowe w utrzymaniu bezpieczeństwa informacji organizacyjnych przed intruzem.

Pomocne dochodzenia kryminalistyczne

Niezależnie od tego, czy w poważnym świecie, czy w cyfrowym, zbadanie miejsca przestępstwa nie jest szybką pracą. Niemniej jednak niezwykle krytycznym aspektem każdego indywidualnego systemu cyberbezpieczeństwa jest zakończenie opowieści o tym, co się stało i dlaczego. Filtrowanie w wyniku niezliczonej liczby dzienników informacji i destylacja metadanych, grupy ochrony będą musiały uzyskać jak najwięcej dowodów dotyczących sieci, punktów końcowych i programów, aby zamknąć scenariusz. Najskuteczniejsze aplikacje cyberbezpieczeństwa pomogą uzyskać szczegółowe dane historyczne i w pełni je uchwycić, aby przedstawić historię incydentu, wykorzystując narrację do poprawy ochrony społeczności i ochrony przed możliwymi do przewidzenia przyszłymi naruszeniami. W końcu każdy kompromis i każde naruszenie wiedzy jest naukowym doświadczeniem zawodowym, które naprawdę należy wykorzystać do dopracowania strategii, instrumentów i procesów, aby zmaksymalizować widoczność, zwiększyć polowanie na zagrożenia i przyspieszyć wykrywanie.

Budowanie wyczucia dźwięku

Grupy bezpieczeństwa mogą otrzymać ogromną liczbę alertów informujących je o potencjalnym ryzyku. Niektóre z nich rzeczywiście będą miały zastosowanie, inne osoby ograniczą pierwszeństwo. Im więcej grup dźwiękowych dostanie, tym większe prawdopodobieństwo, że zabraknie czegokolwiek kluczowego. Niesławny Koncentrat ds. naruszeń informacji można było zapobiec, gdyby pracownicy ochrony nie dali się porwać natłokowi powiadomień z wielu metod stabilności, wskazujących na znaczną trudność. W przypadku Targeta element prędkości był kluczowy dla powstrzymania wyłomu, a przynajmniej zminimalizowania jego wpływu, ale załoga nie mogła jedynie zająć się alarmami ani je zweryfikować. To wyzwanie jest znacznie bardziej rozpowszechnione i nadal jest bardzo aktualne w dużych i mniejszych organizacjach.

To powiedziawszy, dzisiejszy sprzęt ochronny zapewnia działom IT nie tylko znacznie lepszą dokładność powiadomień, ale także kontekst wiedzy i więcej informacji pomocniczych, aby przyspieszyć reakcję na incydenty i przeprowadzić znacznie bardziej produktywne dochodzenia. Ograniczenie poziomu hałasu i podniesienie jego doskonałego znacznie pomaga w dokonywaniu znacznie lepszych, szybszych wyborów. Mierniki bezpieczeństwa są złożone, w związku z czym sprzęt używany przez grupy IT musi być w pewnym stopniu uproszczony. W ten sposób zaufanie do strategii cyberbezpieczeństwa może się rozwijać, gdy dane zamieniają się w łatwe do zrozumienia, praktyczne wnioski. Dzięki poczuciu własnej wartości, prostocie i znacznie lepszemu ustalaniu priorytetów ostrzegania, grupy zajmujące się cyberbezpieczeństwem mogą zmienić swoją technikę z reaktywnej na proaktywną, nigdy nie przegapiając czającego się intruza. Zaopatrzenie się w odpowiednie instrumenty może pomóc przełożonym grupom zrozumieć informacje dotyczące bezpieczeństwa, właściwie unikać naruszeń i chronić firmy, pracowników i kupujących przez kilka lat.

Vincent Stoffer, starszy dyrektor ds. zarządzania towarami, Corelight