การสร้างการป้องกันการศึกษาภัยคุกคาม: รู้จักศัตรู สนามรบ และตัวคุณเอง
เผยแพร่แล้ว: 2021-12-28
ในสถานการณ์ภัยคุกคามทางไซเบอร์เมื่อเร็วๆ นี้ การทำความเข้าใจว่าการโจมตีอาจมาจากไหนและการโจมตีในบริษัทของคุณนั้นมีความสำคัญมากกว่าที่เคยเป็นมาอย่างไร
อาชญากรรมทางอินเทอร์เน็ตบนพื้นฐานทั่วโลกได้เติบโตขึ้นเพื่อสร้างความเสียหายต่อสถานะทางการเงินของโลกราวหนึ่งล้านล้านเหรียญ ซึ่งเป็นตัวเลขที่มากกว่า GDP ของเบลเยียม
จากการที่ธุรกิจต่างๆ ได้มาซึ่งข้อมูลและขั้นตอนส่วนใหญ่ของตนในรูปแบบดิจิทัล ทรัพย์สินทางอิเล็กทรอนิกส์ทั้งหมดในปัจจุบันจึงมีโอกาสเข้มข้นที่จะมีพื้นที่ผิวโจมตีที่ใหญ่กว่าที่เคยมีมา
ผลผลิต ความสะดวกสบาย และประสิทธิภาพเป็นแรงขับเคลื่อนของการปฏิวัติทางอิเล็กทรอนิกส์ ซึ่งสร้างโลกที่เราทุกคนเชื่อมต่อถึงกัน และบนเว็บก็ผสมผสานอย่างลงตัวกับออฟไลน์ การจู่โจมแรนซัมแวร์ท่อส่งอาณานิคมเมื่อต้นปีนี้เป็นเครื่องเตือนใจอย่างชัดเจนว่าการโจมตีทางไซเบอร์สามารถส่งผลกระทบต่อโลกทางกายภาพได้อย่างไรโดยการปล่อยแหล่งน้ำมันบนชายฝั่งตะวันออกของสหรัฐอเมริกา
ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนในขณะนี้ว่าแฮกเกอร์สามารถมุ่งความสนใจไปที่เครื่องกระตุ้นหัวใจ ปั๊มอินซูลิน หรือรถยนต์ที่เชื่อมโยง จุดปลายกำลังมีความหลากหลายและกระจัดกระจายอยู่ตลอดเวลา สิ่งเหล่านี้ไม่ใช่แค่พีซีและเซิร์ฟเวอร์เท่านั้น แต่ยังรวมถึงโทรศัพท์ กล้อง ทางเลือก HVAC เครื่องพิมพ์ นาฬิกา ลำโพงอัจฉริยะ และอื่นๆ อีกมากมาย ความเสี่ยงของแรนซัมแวร์เกิดขึ้นเฉพาะถิ่นแล้ว และการเพิ่มขึ้นของ cryptocurrencies ได้แสดงให้เห็นตัวบ่งชี้สำหรับอาชญากรไซเบอร์ในการทำธุรกรรมที่ไม่ระบุชื่อและปราศจากอันตราย
ทั้งหมดนี้ทำให้ระบบนิเวศของภัยพิบัติร้ายแรงเป็นไปได้ การโจมตีทางไซเบอร์มีความท้าทายมากขึ้นในการกู้คืนและมีผลกระทบมากขึ้น บริษัทต่างๆ จะต้องฉลาดขึ้นและดำเนินการเร็วขึ้นเพื่อจัดการกับภัยคุกคามที่พวกเขาต้องเผชิญในเชิงรุก
การลงทุนในเทคโนโลยีความปลอดภัยไม่เพียงพอ ขณะนี้เราได้สังเกตเห็น 'สมมติว่ามีการละเมิด' เกิดขึ้นในหมู่ธุรกิจ - การเปลี่ยนแปลงในทิศทางของการเพิ่มความสามารถในการตอบสนองและการกู้คืนนอกเหนือจากแผนการป้องกันทางไซเบอร์ทั่วไป การตระหนักว่าการจู่โจมไม่ใช่เรื่องของ 'ถ้า' แต่ 'เมื่อใด' องค์กรต้องมีปฏิกิริยาตอบสนองเหตุการณ์ที่เชื่อถือได้ การจัดการวิกฤต และแผนการกู้คืนจากภัยพิบัติ
การอยู่ในตำแหน่งที่จะกำหนด ปกป้อง ตรวจจับได้อย่างมีประสิทธิผลเช่นเดียวกับการตอบสนองและรับมือภัยคุกคามได้ดีขึ้นนั้นเป็นสิ่งจำเป็น: ความสามารถเหล่านี้เป็นชุดการตั้งค่าของระบบความยืดหยุ่นทางไซเบอร์ที่ครอบคลุม แต่ความยืดหยุ่นทางไซเบอร์ยังช่วยลดภัยคุกคามด้วย การทำความเข้าใจว่ากิจกรรมการรักษาความปลอดภัยในโลกไซเบอร์ใดจะมีผลกระทบที่สำคัญที่สุดต่อธุรกิจของคุณ และจัดลำดับความสำคัญของมาตรการป้องกันอย่างเหมาะสม คุณต้องมีความรู้เป็นอย่างดีเกี่ยวกับผู้โจมตีและเทคนิคของพวกเขา เพื่อสร้างแผนความปลอดภัยที่ขึ้นอยู่กับภัยคุกคามที่มีความรู้เกี่ยวกับภัยคุกคาม
เป็นสนามรบในโลกไซเบอร์ทั้งหมด
โอกาสคือการแสดงของความน่าจะเป็นและผลกระทบ ฟังก์ชันที่มีความเป็นไปได้สูงมากที่จะเกิดขึ้น แต่มีผลกระทบน้อยที่สุด มีความเป็นไปได้โดยรวมน้อยกว่าฟังก์ชันที่ไม่น่าจะเป็นไปได้ แต่จะนำไปสู่การบาดเจ็บหลัก
ดังนั้น บริษัทต่างๆ ต้องการประเมินก่อนว่าทรัพย์สินใดมีโอกาสถูกโจมตีสูงสุด และประการที่สอง ทรัพย์สินเหล่านี้มีค่าสำหรับพวกเขาเพียงใด คุณสามารถรับรู้พื้นที่ที่สามารถใช้ประโยชน์ได้ทั้งหมดหากคุณเข้าใจถึงความเป็นไปได้ที่จะถูกโจมตีโดยใช้เวกเตอร์การโจมตีส่วนบุคคล การศึกษาคู่ต่อสู้ของคุณและวิธีที่พวกเขาดำเนินการจึงเป็นส่วนสำคัญของแนวทางที่เน้นการคุกคามเป็นหลัก
คุณจะต้องรู้จักศัตรู สนามรบ และตัวคุณเอง ธุรกิจจำเป็นต้องวิเคราะห์หุ้นของตนอย่างระมัดระวัง – ข้อมูล วิธีการ และบุคคลในสนามรบ – ชุมชนเช่นเดียวกับผู้โจมตีโอกาส
การตระหนักถึงศัตรูเป็นส่วนที่ยากที่สุด ใครคือผู้แสดงอันตรายที่สร้างความหลงใหลในองค์กรของคุณและทำไมพวกเขาถึงมองว่าคุณเป็นเป้าหมายที่สะดุดตา แรงจูงใจและเป้าหมายของพวกเขาคืออะไร? พวกเขาทำงานอย่างไร – วิธีการ วิธีการ และการรักษา (TTP) ที่พวกเขาใช้และวิธีการเหล่านี้สามารถนำไปใช้กับสภาพแวดล้อมทางธรรมชาติส่วนบุคคลของคุณได้อย่างไร? พวกเขาจะโจมตีที่ไหนมากที่สุดและพวกเขาจะประนีประนอมธุรกิจหรือผู้บริโภคของคุณอย่างไร?
หลังจากที่องค์กรได้รับความคุ้นเคยในเชิงลึกนี้แล้ว ก็สามารถทำให้คุณนึกถึงลำดับความสำคัญที่ปรับเปลี่ยนภัยคุกคามสำหรับการควบคุมและการลงทุนด้านความปลอดภัยที่ถูกต้อง การคาดการณ์ว่าผู้โจมตีจะทำอะไรได้บ้างจะช่วยระบุช่องว่างในการป้องกันของคุณและช่วยตัดสินใจเลือกสถานที่ที่จะเพิ่มความปลอดภัย ในทางกลับกัน เป็นเรื่องยากมากที่จะสร้างซอฟต์แวร์ความยืดหยุ่นทางไซเบอร์ที่มีประสิทธิผล หากคุณไม่เคยเข้าใจวิธีการที่ผู้โจมตีจะใช้กับคุณ
การวางท่าที่ไม่เหมาะสมเริ่มต้นด้วยการเข้าใจศัตรูของคุณ
คุณจะระบุและทำความคุ้นเคยกับผู้โจมตีได้อย่างไร? เครื่องมือ Threat Intelligence มักรับประกันการส่งมอบโซลูชัน แต่เมื่อพวกเขาสามารถมีส่วนสำคัญในระบบความปลอดภัยใด ๆ ในที่สุดพวกเขาก็จะได้รับคำตอบเชิงโต้ตอบโดยพิจารณาจากตัวบ่งชี้การประนีประนอมเป็นหลัก พวกเขามีแนวโน้มที่จะมีข้อมูลที่ไม่ผ่านการกรองมากเกินไป โดยตัวบ่งชี้ภัยคุกคามจะเปลี่ยนแปลงตลอดเวลา ในทางกลับกัน การศึกษา TTP ของปฏิปักษ์ต้องเป็นแนวทางในเชิงรุกและมีเป้าหมาย โชคดีที่มีแหล่งข้อมูลโอเพ่นซอร์สจำนวนมากที่สามารถเข้าถึงได้เพื่อช่วยให้องค์กรต่างๆ มีความเข้าใจเกี่ยวกับวิธีการทำงานของผู้คุกคาม
ฐานข้อมูล MITER ATT&CK เป็นตำแหน่งเริ่มต้นที่ดี เนื่องจากเป็นคลังข้อมูลแนวทางและกลยุทธ์ของฝ่ายตรงข้ามที่เข้าถึงได้ง่าย ประกอบด้วยรายละเอียดเกี่ยวกับพฤติกรรมของคู่ต่อสู้ในโลกไซเบอร์ สะท้อนถึงขั้นตอนต่างๆ ของวงจรชีวิตการโจมตีและแพลตฟอร์มที่พวกเขายอมรับในการกำหนดเป้าหมาย และนำเสนอกรอบการทำงานที่มักใช้โดยนักล่าอันตราย ทีมแดง และผู้พิทักษ์เพื่อจัดประเภทและประเมินการโจมตี
ThaiCERT ได้จัดทำสารานุกรมที่เป็นประโยชน์ที่แตกต่างกันของตัวแสดงอันตราย อย่างไรก็ตาม ไม่มีข้อมูลที่ครอบคลุมของผู้โจมตีทั้งหมด – และคู่ต่อสู้มักจะทำงานภายใต้หน้ากากที่โดดเด่น
สำหรับข้อมูลเชิงลึกที่ทันสมัยที่สุดบางส่วน ซัพพลายเออร์ด้านการคุ้มครองจะตรวจสอบผู้ดำเนินการและเผยแพร่ข้อมูลนี้ ตัวอย่างเช่น โปรไฟล์ภัยคุกคามมีให้โดยไม่มีค่าใช้จ่ายในกระดานสนทนาเกี่ยวกับ Danger Administration Cyber ของ Datto โดยทีมจัดการภัยคุกคามจะแบ่งปันโปรไฟล์อันตราย ลายเซ็น และรายละเอียดเกี่ยวกับภัยคุกคามที่มุ่งเน้นไปที่ชุมชนท้องถิ่น MSP และลูกค้า SMB ของพวกเขา โปรไฟล์เพิ่มเติมส่วนใหญ่ไม่นานมานี้เกี่ยวข้องกับทีมแฮ็กเกอร์ APT29 ที่ได้รับการสนับสนุนจากรัฐรัสเซีย ซึ่งถือเป็น Cozy Bear และ Darkish Halo the LockBit อันเป็นที่รักของแรนซัมแวร์และกลุ่ม Wizard Spider อาชญากรไซเบอร์ที่น่าอับอาย
แต่ละโปรไฟล์รวมถึงภาพรวมนักแสดง แรงจูงใจ TTP การบรรเทาหรือการป้องกันที่เป็นไปได้ ตัวเลือกการตรวจจับและสินทรัพย์เพิ่มเติม นักวิทยาศาสตร์ยังได้จับคู่นักแสดงกลับไปที่กรอบงาน MITER ATT&CK และ CIS Vital Protection Safeguards เพื่อให้ข้อมูลสามารถดำเนินการได้อย่างง่ายดาย
วางศัตรูในโลกไซเบอร์ในพื้นที่: เข้าใจ จัดลำดับความสำคัญ ป้องกัน ทดสอบ
ในเวลาที่คุณได้รับข้อมูลเชิงลึกที่จำเป็นเกี่ยวกับความเสี่ยงที่อาจแฝงตัวอยู่ การจำลองวิธีการของพวกเขาจะช่วยให้คุณทราบว่าคุณมีโอกาสเผยแพร่โฆษณาครั้งใหญ่ในองค์กรของคุณอยู่ที่ใด และคุณสามารถทำอะไรได้บ้างเพื่อบรรเทาอันตรายนี้ คุณสามารถจัดลำดับความสำคัญและดำเนินการควบคุมความปลอดภัยที่มีประสิทธิภาพสูงสุดโดยตรงกันข้ามกับผู้ดำเนินการที่แตกต่างกันโดยการทำวิศวกรรมย้อนกลับการละเมิดก่อนหน้านี้
เพื่อช่วยตรวจสอบการกำหนดค่าของคุณ มีเครื่องมือฟรีแบบโอเพนซอร์สมากมายที่เลียนแบบฝ่ายตรงข้ามโดยเฉพาะ เช่น Caldera (ซึ่งใช้ประโยชน์จากผลิตภัณฑ์ ATT&CK) หรือ Atomic Pink Group ของ Pink Canary
การจำลองแบบปฏิปักษ์แตกต่างจากการทดสอบปากกาและการรวมทีมสีแดงเข้ม โดยจะใช้สถานการณ์สมมติเพื่อทดสอบ TTP ของฝ่ายตรงข้ามที่ไม่เหมือนใคร เทคนิคเกี่ยวกับผู้คนสามารถป้องกันหรือตรวจจับได้ในสภาพแวดล้อมของคุณหรือไม่? จำเป็นอย่างยิ่งที่จะต้องตรวจสอบความรู้ทางเทคโนโลยี ดำเนินการอย่างมีประสิทธิภาพพอๆ กับที่คนทั่วไปตระหนักดีว่าการป้องกันของคุณทั้งหมดทำงานร่วมกันอย่างไร ทำซ้ำระบบนี้จนกว่าคุณจะพร้อมที่จะต่อสู้กับคู่ต่อสู้นี้ในที่สุด
SMEs ต้องทำสิ่งนี้อย่างน้อยที่สุดในปีปฏิทินหรือทุกครั้งที่มีภัยคุกคามใหม่ที่สำคัญ บริษัทขนาดใหญ่กว่ามาก และ MSP รายไตรมาส แม้ว่าสำหรับองค์กรแล้ว โครงการป้องกันภัยที่ได้รับข้อมูลข่าวสารเป็นความพยายามและทำงานหนักอย่างต่อเนื่อง
นอกจากนี้ บริษัทใดๆ จำเป็นต้องปฏิบัติตาม CIS Vital Security Controls – อย่างน้อยที่สุด โดยใช้เวลาเพียงพอในการควบคุม Implementation Group 1 (IG1) สำหรับการรักษาความสะอาดทางไซเบอร์ที่สำคัญ
ปัจจัยหลักคือการเริ่มต้นเท่านั้น ไม่จำเป็นต้องมีความรู้สึกสับสนในการดำเนินการ เริ่มต้นด้วยการประเมินช่องโหว่ทีละการดำเนินการไปสู่ CIS IG1: การลงทุนหนึ่งชั่วโมงใน 7 วันกับโซลูชันที่เน้นความเสี่ยงและภัยคุกคามจะช่วยเพิ่มเสถียรภาพในทุกด้านของคุณ
ความคุ้นเคยที่ดีกับผู้ไม่หวังดีในโปรไฟล์ความเสี่ยงของธุรกิจมีความสำคัญต่อการตั้งค่าซอฟต์แวร์ความปลอดภัยที่ได้รับการศึกษาด้านภัยคุกคามที่มีประสิทธิผล ซึ่งจะทำให้แน่ใจได้ว่าไซเบอร์มีความยืดหยุ่น เมื่อบริษัทต่างๆ เริ่มรู้สึกเหมือนแฮ็กเกอร์มากขึ้น พวกเขาจะพร้อมที่จะทำการตัดสินใจที่มีความรู้เกี่ยวกับอันตรายได้ดีขึ้นมาก และจะได้รับการปรับปรุงให้พร้อมสำหรับการป้องกันด้วยตัวเอง
Ryan Weeks, CISO, Datto