0
0
Profissionais sábios de segurança entendem que os atores de ameaças não estão parados, e eles não estão jogando pelas mesmas regras que grupos da velha guarda. Lapsus$, por exemplo, está ganhando notoriedade por seu comportamento imprevisível, usando táticas como extorsão e subornar insiders para acesso inicial. Deixou até os profissionais de segurança mais experientes coçando a cabeça.
Quando você descobrir que sua organização foi violada, você estará lutando para descobrir seu plano de resposta e remediação de incidentes de segurança quando sua equipe não pode pensar direito, ou sua resposta será tão simples quanto a memória muscular? Para minimizar os danos causados quando ocorre um incidente de segurança, é importante olhar para dentro.
Mantenha um navio apertado
Eu nunca ousaria prometer “eliminar ameaças cibernéticas”, mas posso fornecer recomendações fortes para melhorar a segurança interna. Analisando algumas das últimas vítimas do Lapsus$, podemos aprender algumas coisas.
Primeiro, a segurança da credencial é imperativa. Cedo ou tarde, um ator de ameaças comprometerá credenciais em sua organização. Não é realista para uma empresa esperar que todos os funcionários recusem tentativas de extorsão a todo custo. Compreender essa realidade transforma a tarefa impossível em uma solução prática.
As equipes de segurança devem mudar seu foco de impedir puramente o comprometimento da credencial para rastrear o comportamento do usuário para que as anomalias possam ser rapidamente identificadas e atendidas.
Por fim, ao discutir os incidentes de Lapsus$ e outros como eles que estão usando extorsão e suborno para iniciar a entrada, devemos discutir a importância da conscientização sobre segurança cibernética e treinamento de ameaças internas. Muitas organizações colocaram em prática algum nível de treinamento de segurança do usuário final. Mas claramente, isso não é suficiente para impedir que novos grupos de ameaças rompissem a última linha de defesa.
Gerenciamento de empresas terceiras
As organizações não podem preparar suas próprias práticas de privacidade e segurança no vácuo — todos nós dependemos de uma grande rede de produtos e serviços para fazer nosso trabalho.
Repita depois de mim: Qualquer pessoa (ou qualquer organização) pode facilmente ser vítima de um incidente de terceiros.
Se você avaliasse os privilégios de cada uma de suas soluções de terceiros, você ficaria orgulhoso do que encontrou? As chances são de que haja pontos fracos nos protocolos de acesso. Suas soluções de terceiros provavelmente têm acesso a coisas que não deveriam. Seus acordos contratuais provavelmente não são à prova de balas também.
Embora seja importante considerar o equilíbrio do risco gerenciável com o retorno sobre o investimento, também é essencial promover uma relação colaborativa, mas vigilante com todas as suas partes externas. Trata-se de definir um contrato claro com fornecedores que envolve segurança no início, focando em responsabilidades compartilhadas por segurança, boa arquitetura e comunicação oportuna.
Confira nas listas de verificação de segurança cibernética
Criar uma lista de verificação de segurança cibernética deve ser um requisito para fazer negócios com terceiros. A lista de verificação deve incluir (mas não se limita a): verificar minuciosamente os padrões de privacidade e segurança dos fornecedores; adicionando termos e condições dentro do seu contrato para abordar o que aconteceria em caso de paralisação e os custos que cada parte incorreria; e planos de contingência para funcionários que podem depender de tecnologia ou soluções de software para fazer seus trabalhos. Tome uma abordagem semelhante sempre que sua organização estiver envolvida em qualquer tipo de atividade de M&A, pois os riscos também se aplicam a esses cenários.
Sempre haverá riscos associados a soluções de terceiros, mas viver em uma bolha não é realista. Gerenciar esse risco tendo recursos de visibilidade e segurança em todo o ciclo de vida de resposta a incidentes de segurança deve ser o fim do jogo.
Lacunas comunicantes
As organizações que sofrem um incidente de segurança não devem se esconder atrás de terceiros e não devem culpar seus funcionários. Eles também não devem permitir que os advogados criem cortinas de fumaça em torno do que aconteceu. Isso não ajuda ninguém a longo prazo e só salva a cara até que não o faça mais.
A comunicação em torno das vulnerabilidades e ameaças atuais está constantemente fluindo em organizações saudáveis e bem preparadas. Como um praticante de segurança, você deve ser proativo em como você se comunica com a liderança. É extremamente eficaz gerenciar enviando um aviso à liderança sobre uma nova violação ou vulnerabilidade com seu insight adicionado. Os analistas de segurança podem oferecer valor mostrando proativamente que já verificaram “XYZ” e que estão executando consultas automatizadas para indicadores de compromisso, etc. Eles podem encaminhar isso ao seu CISO para que essa pessoa compartilhe para cima. A liderança do CISO/SOC pode, então, tomar medidas para preencher essa lacuna.
Além disso, quando ocorre um incidente de segurança, os analistas de segurança devem se sentir confortáveis dizendo que “não tínhamos capacidade para identificar este incidente”. Operações eficazes requerem reflexão sobre seus próprios incidentes de segurança e experimentos de pensamento com outros problemas compartilhados na comunidade de segurança. Seja honesto e documente tudo. A partir daí, eles podem usar esses pontos de prova para trabalhar com liderança e preencher as lacunas.
Cultura é a chave
Ninguém com uma cara séria pode negar a importância da cultura de segurança quando se trata de manter um navio apertado, gerenciar a segurança de terceiros e dominar a comunicação interna. A cultura tece tudo. Funcionários motivados com excelente apoio de seus membros da equipe e liderança são menos propensos a cometer erros e também são menos propensos a se virar e dar informações a um cibercriminoso quando confrontados com a tentação de recompensas brilhantes ou, pior, vingança.
Promover uma cultura de comunicação aberta (em vez de temer cometer um erro) ajudará seus analistas de segurança a sentirem que podem falar com a liderança sobre quais lacunas precisam ser preenchidas para fazer corretamente seus trabalhos e minimizar o impacto de futuras violações.
Incidentes de segurança acontecerão a todos, mas uma máquina bem lubrificada pode gerenciar internamente e remediar externamente de uma forma que não levará a danos extensos ao resultado final de uma empresa. Muitas empresas estão sobrecarregadas com apenas o pensamento de uma brecha acontecendo – imagine como elas entram em pânico quando uma brecha realmente ocorre.
FONTE: DARK READING