Construirea unei protecții educate pentru amenințare: cunoaște-ți inamicul, câmpul de luptă și sinele tău
Publicat: 2021-12-28
În peisajul recent al amenințărilor cibernetice, înțelegerea de unde ar putea veni atacurile probabile și cum ar putea afecta corporația dvs. este mai important decât oricând.
Criminalitatea cibernetică la nivel mondial a crescut pentru a genera o pierdere de aproximativ un trilion de dolari verzi asupra situației financiare a planetei - o cifră mai substanțială decât PIB-ul Belgiei.
Întrucât companiile achiziționează digitalizate marea majoritate a informațiilor și procedurilor lor, toate aceste proprietăți electronice prezintă acum o șansă concentrată care are o suprafață de atac mai mare decât oricând înainte.
Productivitatea, confortul și performanța au fost motoarele revoluției electronice, modelând o lume în care suntem cu toții interconectați, iar online-ul se îmbină perfect cu offline-ul. Atacul ransomware-ului pe conducta colonială de la începutul acestui an a fost o reamintire clară a modului în care un atac cibernetic poate avea un efect asupra planetei fizice prin eliminarea sursei de benzină de pe coasta de est a Statelor Unite.
Expertii siguranței au avertizat în prezent că hackerii s-ar putea concentra pe stimulatoare cardiace, pompe de insulină sau mașini conectate. Punctele finale devin în orice moment foarte diverse și dispersate. Nu mai sunt timp doar PC-uri și servere, ci și telefoane, camere, alternative HVAC, imprimante, ceasuri, difuzoare inteligente și multe altele. Riscul ransomware este acum endemic. Și creșterea criptomonedelor a prezentat indicii pentru infractorii cibernetici să aibă tranzacții anonime, fără riscuri.
Toate acestea luate în mod colectiv au făcut probabil un ecosistem de pericol catastrofal. Atacurile cibernetice devin din ce în ce mai dificil de recuperat și au repercusiuni și mai mari. companiile vor trebui să devină mai inteligente și să acționeze mai rapid pentru a face față în mod proactiv amenințărilor cu care se confruntă.
Investițiile în tehnologii de securitate nu sunt suficiente. În prezent, am observat o trezire a „asumării încălcării” în rândul companiilor – o transformare în direcția creșterii capacităților de răspuns și recuperare, pe lângă planurile obișnuite de protecție cibernetică. Fiind conștienți de faptul că un atac nu este un subiect de „dacă”, ci „când”, organizațiile trebuie să aibă planuri fiabile de reacție la incident, management de criză și recuperare în caz de dezastru.
Este imperativ să ajungeți în situația de a determina, proteja, detecta la fel de eficient ca reacționarea și îmbunătățirea față de amenințări: aceste capabilități sunt blocurile de configurare ale unui sistem cuprinzător de reziliență cibernetică. Dar reziliența cibernetică înseamnă și reducerea amenințărilor - înțelegerea activităților de securitate cibernetică ar avea cele mai semnificative efecte asupra afacerii dvs. și prioritizarea măsurilor de protecție în mod corespunzător. Trebuie să aveți o cunoaștere foarte bună a potențialilor voștri atacatori și a tehnicilor acestora pentru a stabili un plan de siguranță bine informat și dependent de amenințări.
Fii gata pe câmpul de luptă cibernetic
Șansa este o performanță a probabilității și a efectelor adverse. O funcție care este extrem de foarte probabil să se materializeze, dar are efecte minime, oferă o posibilitate totală considerabil mai mică decât o funcție care nu este probabilă, dar care ar duce la o vătămare principală.
În consecință, companiile doresc în primul rând să evalueze care dintre proprietățile lor au cea mai mare probabilitate de a rămâne atacată și, în al doilea rând, cât de valoroase sunt aceste active pentru ele. Vă puteți recunoaște pe deplin zona exploatabilă numai dacă înțelegeți probabilitatea de a fi atacat folosind un vector de atac individual. Studierea adversarului dvs. și a modului în care acesta rulează este, prin urmare, o secțiune crucială a acestei abordări bazate în primul rând pe amenințări.
Va trebui să-ți cunoști inamicul, câmpul de luptă și pe cont propriu. întreprinderile trebuie să-și analizeze cu atenție stocul individual – informații, metode și persoane câmpul lor de luptă – comunitatea la fel de frumos ca atacatorii lor de oportunitate.
Realizarea inamicului este cea mai grea secțiune. Cine sunt actorii de pericol care fac fascinație în corporația ta și de ce te văd ca pe o țintă atrăgătoare? Care sunt motivațiile și obiectivele lor? Cum își desfășoară activitatea – ce metode, abordări și tratamente (TTP) folosesc și cum sunt acestea aplicabile mediului dumneavoastră natural individual? Exact unde ar ataca cel mai probabil și cum v-ar compromite afacerea sau consumatorii?
După ce o organizație a dobândit această cunoaștere în profunzime, se poate decide asupra priorităților modificate de amenințări pentru controalele și investițiile corecte de siguranță. Anticiparea a ceea ce ar putea face atacatorul va ajuta la identificarea lacunelor în apărarea dvs. și vă va ajuta să decideți locul în care să creșteți siguranța. Dimpotrivă, este extrem de greu să construiești un software productiv de rezistență cibernetică dacă nu înțelegi niciodată metodele pe care atacatorii le vor folosi împotriva ta.
A lua o postură ofensivă începe cu a-ți înțelege inamicul
Deci, cum te descurci să identifici și să fii familiarizat cu posibilul tău atacator? Instrumentele Threat Intelligence asigură, în general, furnizarea de soluții, dar atunci când pot juca o parte critică în orice sistem de siguranță, acestea sunt în cele din urmă răspunsuri reactive bazate în primul rând pe indicatori de compromis. Ele au tendința de a conține prea mult informații nefiltrate, cu indicatorii de amenințare schimbându-se constant. Pe de altă parte, studierea TTP-urilor unui adversar trebuie să fie un curs de acțiune proactiv și țintit. Din fericire, există o serie de resurse open-source accesibile pentru a ajuta corporațiile să înțeleagă cum funcționează actorii amenințători.
Baza de date MITRE ATT&CK este o bună poziție de început, ca o bibliotecă destul de accesibilă de căi și strategii adverse recunoscute. Include detalii despre comportamentul adversarilor cibernetici, reflectând diferitele faze ale ciclului de viață a unui atac și platformele pe care se recunoaște că le vizează și oferă un cadru pe care îl folosesc în mod obișnuit vânătorii de pericole, membrii echipei roșii și apărătorii pentru a clasifica și evalua atacurile.
ThaiCERT oferă o altă enciclopedie utilă a actorilor de pericol. Cu toate acestea, nu există un stoc unic cuprinzător al tuturor atacatorilor – iar adversarii pot funcționa frecvent sub forme distincte.
Pentru unele dintre cele mai actuale informații, furnizorii de protecție monitorizează actorii și publică aceste informații. De exemplu, profilurile de amenințări sunt oferite gratuit pe forumul de discuții cibernetic de administrare a pericolelor de la Datto, unde echipa de management al amenințărilor împărtășește profiluri de pericol, semnături și detalii despre amenințări care se concentrează asupra comunității locale MSP și clienților lor SMB. Cele mai multe profiluri suplimentare, nu cu mult timp în urmă, implică echipa rusă de hackeri sponsorizată de stat APT29, considerată și Cozy Bear și Darkish Halo, cei dragi LockBit ai ransomware-ului și infamul grup de criminalitate cibernetică Wizard Spider.
Fiecare profil include o prezentare generală a actorilor, motivele acestora, TTP-uri, atenuări sau apărări fezabile, opțiuni de detectare și active adăugate. Oamenii de știință au mapat, de asemenea, actorii înapoi în cadrul MITRE ATT&CK și măsurile de protecție vitală CIS pentru a face informațiile ușor de acționat.
Plasați adversarii cibernetici în zona lor: înțelegeți, prioritizați, păziți, testați
În momentul în care ați obținut informațiile necesare despre actorii de risc care ar putea fi pândiți, simularea metodelor lor vă va ajuta să vă dați seama oriunde aveți șansa majoră de publicitate în corporația dvs. și ce puteți face pentru a atenua acest pericol. Prin inginerie inversă a încălcărilor lor anterioare, puteți prioritiza cu încredere și puteți efectua cele mai eficiente controale de siguranță în opoziție cu actori diferiți.
Pentru a ajuta la examinarea configurațiilor dvs., există o gamă de instrumente open-source gratuite care emulează adversari specifici, cum ar fi Caldera (care folosește produsul ATT&CK) sau Atomic Pink Group de la Pink Canary.
Emularea adversarului este diferită de testarea creionului și de echipă crimson prin faptul că folosește un scenariu pentru a testa TTP-urile unui adversar unic. Tehnicile oamenilor pot fi atât prevenite, cât și detectate în împrejurimile dvs.? Este vital să cercetezi cunoștințele tehnologice, procesele la fel de eficient ca oamenii pentru a recunoaște absolut modul în care apărările tale funcționează împreună. Repetați acest sistem până când sunteți pregătit să câștigați lupta împotriva acestui adversar.
IMM-urile trebuie să facă acest lucru cel puțin atunci când un an calendaristic sau de fiecare dată când există o nouă amenințare principală, corporații mult mai mari și MSP-uri trimestrial, deși pentru întreprinderi, un program de apărare informat asupra amenințărilor este un efort continuu și o muncă grea.
În plus, orice firmă trebuie să respecte Controalele de securitate vitală CIS – ca un minim, acordând suficient timp controalelor Grupului de implementare 1 (IG1) pentru curățenia cibernetică crucială.
Factorul principal este doar să începeți. Nu este nevoie să fii simțit confuz de întreprindere. Începeți cu o evaluare a găurii mișcare cu acțiune către CIS IG1: chiar și investirea unei oră la 7 zile într-o soluție bazată pe riscuri și amenințări vă va ajuta să vă creșteți stabilitatea globală.
O bună cunoaștere a actorilor săraci din profilul de risc al unei afaceri este vitală pentru a crea un software de securitate productiv, educat pentru amenințări, care asigură rezistența cibernetică. Pe măsură ce companiile încep să se simtă mai mult ca niște hackeri, ei vor fi gata să ia decizii mult mai bune cu cunoștință de pericole și vor fi echipate îmbunătățite pentru a se proteja singure.
Ryan Weeks, CISO, Datto