Построение защиты от угроз: знай своего врага, свое поле битвы и самого себя
Опубликовано: 2021-12-28
В недавней ситуации с киберугрозами понимание того, откуда могут исходить вероятные атаки и как они могут поразить вашу корпорацию, важнее, чем когда-либо прежде.
Киберпреступность во всем мире выросла и привела к снижению финансового состояния планеты примерно на один триллион долларов — цифра более существенная, чем ВВП Бельгии.
Поскольку компании оцифровывают большую часть своей информации и процедур, вся эта электронная собственность теперь имеет концентрированный шанс, который имеет большую площадь атаки, чем когда-либо прежде.
Производительность, удобство и производительность стали движущими силами электронной революции, сформировавшей мир, в котором мы все взаимосвязаны, а онлайн-режим органично сочетается с офлайн-режимом. Нападение программы-вымогателя в колониальном трубопроводе ранее в этом году стало ярким напоминанием о том, как кибератака может повлиять на физическую планету, если источник бензина на восточном побережье Соединенных Штатов будет отключен.
Гуру безопасности в настоящее время предупреждают, что хакеры могут сосредоточиться на кардиостимуляторах, инсулиновых помпах или связанных автомобилях. Конечные точки становятся все более разнообразными и рассредоточенными. Это уже не только ПК и серверы, но и телефоны, камеры, альтернативы HVAC, принтеры, часы, интеллектуальные динамики и многое другое. Риск программ-вымогателей стал эндемичным. А рост числа криптовалют предоставил киберпреступникам возможность совершать анонимные и безопасные транзакции.
Все это вместе взятое сделало экосистему катастрофически опасной. Кибератаки становятся все более сложными для восстановления и имеют еще более серьезные последствия. компаниям нужно будет стать умнее и действовать быстрее, чтобы активно бороться с угрозами, с которыми они борются.
Инвестиций в технологии безопасности недостаточно. В настоящее время мы наблюдаем пробуждение «предполагаемых нарушений» среди предприятий — преобразование в направлении наращивания возможностей реагирования и восстановления в дополнение к обычным планам киберзащиты. Помня о том, что нападение зависит не от «если», а от «когда», организации должны иметь надежные планы реагирования на инциденты, управления кризисными ситуациями и аварийного восстановления.
Крайне важно иметь возможность определять, защищать, обнаруживать, а также эффективно реагировать и устранять угрозы: эти возможности являются установочными блоками комплексной системы киберустойчивости. Но киберустойчивость также связана с уменьшением угрозы — пониманием того, какие действия в области кибербезопасности окажут наиболее существенное влияние на ваш бизнес, и надлежащей расстановкой приоритетов ваших мер защиты. Вы должны очень хорошо знать своих потенциальных злоумышленников и их методы, чтобы разработать план обеспечения безопасности, учитывающий угрозы и зависящий от угроз.
Будь на поле битвы в киберпространстве
Шанс — это совокупность вероятности и неблагоприятных последствий. Функция, реализация которой весьма вероятна, но имеет минимальные последствия, предлагает значительно меньшую общую вероятность, чем функция, которая маловероятна, но может привести к основному ущербу.
Следовательно, компании хотят, во-первых, оценить, какая из их собственности имеет наибольшую вероятность того, что они останутся атакованными, а во-вторых, насколько ценны эти активы для них. Вы можете полностью распознать свою эксплуатируемую область только в том случае, если понимаете вероятность атаки с использованием индивидуального вектора атаки. Следовательно, изучение вашего противника и того, как он действует, является важным разделом этого подхода, основанного в первую очередь на угрозах.
Вам нужно будет знать своего врага, свое поле битвы и самого себя. Компании должны тщательно анализировать свои собственные запасы — информацию, методы и людей на поле боя — как в обществе, так и в отношении потенциальных злоумышленников.
Осознание врага — самая трудная часть. Кто такие опасные деятели, увлекающиеся вашей корпорацией, и почему они видят в вас привлекательную мишень? Каковы их мотивы и цели? Как они выполняют свою работу – какие методы, подходы и методы лечения (ТТР) они используют и как они применимы к вашей индивидуальной природной среде? Где именно они наиболее вероятно нападут и как они скомпрометируют ваш бизнес или ваших потребителей?
После того, как организация получит всестороннее знакомство с этим, она может принять решение о приоритетах изменения угроз для правильного контроля безопасности и инвестиций. Предвидение того, что может сделать злоумышленник, поможет выявить бреши в вашей защите и определить место для повышения безопасности. И наоборот, чрезвычайно сложно создать продуктивное программное обеспечение для киберустойчивости, если вы никогда не понимаете методы, которые злоумышленники собираются использовать против вас.
Принятие наступательной позиции начинается с понимания своего врага.
Итак, как вы собираетесь точно определить и узнать своего возможного злоумышленника? Инструменты Threat Intelligence обычно гарантируют предоставление решений, но когда они могут играть критическую роль в любой системе безопасности, они в конечном итоге являются реактивными ответами, в первую очередь основанными на признаках компрометации. Они имеют тенденцию содержать слишком много нефильтрованной информации, а индикаторы угроз постоянно меняются. С другой стороны, изучение ТТП противника должно быть упреждающим и целенаправленным действием. К счастью, существует ряд ресурсов с открытым исходным кодом, которые помогают корпорациям понять, как действуют злоумышленники.
Базы данных MITRE ATT&CK — это хорошая стартовая позиция, как вполне доступная библиотека известных способов и стратегий противника. Он включает в себя подробную информацию о поведении киберпреступников, отражая различные этапы жизненного цикла нападения и платформы, на которые они, как известно, нацелены, и предоставляет структуру, которая обычно используется охотниками за опасностями, красными командами и защитниками для классификации и оценки атак.
ThaiCERT предлагает другую полезную энциклопедию субъектов опасности. Тем не менее, не существует единого всеобъемлющего списка всех злоумышленников, и злоумышленники часто могут действовать под разными масками.
Поставщики средств защиты отслеживают акторов и публикуют эту информацию, чтобы получить наиболее актуальную информацию. Например, профили угроз предлагаются бесплатно на форуме Datto Danger Administration Cyber Discussion, где их группа управления угрозами делится профилями опасностей, сигнатурами и подробностями об угрозах, которые сосредоточены на местном сообществе MSP и их клиентах SMB. Совсем недавно дополнительные профили включали в себя спонсируемую государством российскую хакерскую команду APT29, также известную как Cozy Bear и Darkish Halo, любимые LockBit программы-вымогатели и печально известную группу киберпреступников Wizard Spider.
Каждый профиль включает в себя обзор действующих лиц, их мотивы, TTP, возможные меры по смягчению или защите, варианты обнаружения и дополнительные активы. Ученые также сопоставили действующих лиц со структурой MITRE ATT&CK и мерами безопасности CIS Vital Protection, чтобы сделать информацию легко применимой к действиям.
Поместите киберпреступников в их зону действия: поймите, расставьте приоритеты, охраняйте, тестируйте
Когда вы получите необходимые сведения о том, какие субъекты риска могут скрываться, моделирование их методов поможет вам выяснить, где у вас есть наибольшая известность в вашей компании, и что вы можете сделать, чтобы уменьшить эту опасность. Выполняя обратный инжиниринг их предыдущих нарушений, вы можете уверенно расставлять приоритеты и выполнять наиболее эффективные меры безопасности в отличие от других участников.
Чтобы облегчить проверку ваших конфигураций, существует ряд бесплатных инструментов с открытым исходным кодом, которые эмулируют конкретных противников, таких как Caldera (который использует продукт ATT&CK) или Atomic Pink Group от Pink Canary.
Эмуляция злоумышленника отличается от пентеста и малинового тиминга тем, что использует сценарий для тестирования уникальных TTP злоумышленника. Можно ли предотвратить или обнаружить методы людей в вашем окружении? Крайне важно исследовать технологические ноу-хау, процессы так же эффективно, как и люди, чтобы полностью понять, как ваша защита работает вместе. Повторяйте эту систему, пока, наконец, вы не будете готовы заслужить битву с этим противником.
МСП должны делать это как минимум раз в календарный год или каждый раз, когда возникает основная новая угроза, гораздо более крупные корпорации и MSP — ежеквартально, хотя для предприятий программа защиты с учетом угроз — это постоянные усилия и тяжелая работа.
Кроме того, любая фирма должна соблюдать жизненно важные средства контроля безопасности CIS — как минимум, уделяя достаточно времени средствам контроля группы внедрения 1 (IG1) для критической киберчистоты.
Основным фактором является просто начать. Нет необходимости чувствовать себя сбитым с толку этим предприятием. Начните с пошаговой оценки дыры в направлении CIS IG1: даже вложение часа в 7 дней в решение, основанное на рисках и угрозах, поможет повысить вашу всестороннюю стабильность.
Хорошее знакомство с плохими участниками профиля рисков бизнеса жизненно важно для создания продуктивного программного обеспечения для обеспечения безопасности с учетом угроз, которое обеспечивает киберустойчивость. По мере того, как компании начинают больше чувствовать себя хакерами, они будут готовы принимать гораздо более эффективные решения с учетом опасностей и будут лучше подготовлены к самостоятельной защите.
Райан Уикс, директор по информационной безопасности, Datto