0
0
Pode não ser justo dizer que a resposta a incidentes (RI) é a essência da estratégia de segurança cibernética de uma empresa, mas é o que todo o resto está construindo. No entanto, o maior adversário do IR não é tanto atacante quanto o tempo.
Os bandidos, muitas vezes auxiliados pelo aprendizado de máquina (especialmente em ataques de atores estatais), são ultrafocados. Os ciberatacantes de hoje têm um plano de ataque preciso. Normalmente, eles estarão preparados para roubar o que estão procurando – ou danificar os sistemas – em poucos minutos e, em seguida, sair rapidamente do sistema.
Embora alguns invasores prefiram um meio furtivo que instala malware e observa a atividade da rede por potencialmente meses, muitos dos criminosos mais desagradáveis hoje usam uma abordagem de acerto e execução. Isso significa que um plano de RI deve identificar o que está acontecendo, bloquear sistemas ultrassensíveis e prender o invasor em instantes. A velocidade pode não ser tudo, mas está perto.
Complicando o atual ambiente de RI está o fato de que os cenários de ameaças corporativas se tornaram exponencialmente mais complexos nos últimos anos, especialmente em termos de serem porosos, além de dar aos bandidos muito mais lugares para se esconder. Além dos sistemas WAN e da empresa, há o encolhimento – mas ainda relevante – dos sistemas locais, um grande número de ambientes em nuvem (conhecidos e desconhecidos), IoT / IIoT, parceiros com acesso muito maior, escritórios domésticos com LANs inseguras, frotas de veículos com seus próprios endereços IP e retenção de dados, dispositivos móveis com credenciais completas (muitas vezes de propriedade de funcionários, levantando mais preocupações de segurança) e aplicativos SaaS que são hospedados em sistemas com falhas desconhecidas próprias.
Com tudo isso acontecendo, o centro de operações de segurança (SOC) pode ter meros minutos para identificar e lidar com uma violação.
O maior problema do CISO com o RI é a falta de preparação, e a maior fraqueza das empresas de RI hoje é fundamental. Os melhores processos para RI começam com a prontidão através da construção de um modelo sólido de ameaças organizacionais e da conciliação da biblioteca de ameaças de coisas que poderiam afetar adversamente a empresa com um alinhamento com o que os controles preventivos, detectivos e reativos estão presentes contra a superfície de ataque desse modelo de ameaça. O emprego de automação por meio de tecnologias de orquestração, automação e resposta de segurança (SOAR) tornou-se altamente útil para reduzir os tempos de resposta e ser capaz de aproveitar os manuais que são acionados quando certas condições definidas são atendidas no ambiente técnico.
Confira o Mapa
Um dos elementos fundamentais mais críticos é trabalhar a partir de um mapa de dados atual, preciso e abrangente. O problema é que os ambientes de hoje tornam impossível ter um mapa de dados verdadeiramente completo.
Considere apenas o fator móvel. Funcionários e contratados estão constantemente criando nova propriedade intelectual (uma série de e-mails ou textos, por exemplo, entre um representante de vendas e um cliente ou prospect) por meio de dispositivos móveis e, em seguida, não sincronizando essas informações com sistemas centralizados controlados pela TI.
Como é impossível proteger o que você não sabe que existe, gerar um mapa de dados o mais preciso possível é fundamental. Não faria mal também aumentar a visibilidade de todas as ferramentas, plataformas, hardware/dispositivos (especialmente IoT) e qualquer outra coisa que um invasor pudesse subverter.
O gerenciamento contínuo de superfície de ataque (CASM) tem sido uma área em evolução de atividades de segurança que as empresas precisam amadurecer para garantir que os dispositivos de borda, particularmente aqueles que são dispositivos IoT que podem ter acesso direto ao gateway de borda, sejam adequadamente protegidos com controles de detetive.
Você precisa começar com estratégias tradicionais de gerenciamento de ativos, identificando todos os componentes e rastreando todos os ativos, independentemente de estarem em um rack em algum lugar ou em um colocation. Para muitas empresas, não há abrangência, não há governança adequada. Eles precisam combinar ativos e dados com cada linha de negócios para traçar a sustentabilidade para esse LOB. Eles precisam descobrir tudo, desde dispositivos IoT até software de fornecedores de terceiros. Há tantas coisas que muitas vezes existem abaixo do radar. Qual é o ecossistema para cada linha de produto?
A dimensão vertical
Além dessa empresa, a superfície de ataque e o cenário de ameaças devem ser identificados para quaisquer verticais em que a máquina opere e, muitas vezes, ela precisa perfurar toda e qualquer subindústria. Isso força uma avaliação rigorosa de qual inteligência de ameaças está sendo usada.
Para dados verticais / industriais, isso significa integrar centros de compartilhamento e análise de informações (ISACs), juntamente com alertas de código aberto, notificações de fornecedores, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o (Banco de Dados Nacional de Vulnerabilidades (NVD) e muitos outros, música com dados SIEM internos.
Mas toda essa informação de ameaça é poderosa antes de um incidente. Uma vez que um ataque começa e a equipe do SOC está se defendendo ativamente, as informações sobre ameaças às vezes podem ser mais uma distração do que uma ajuda. É ótimo antes e depois do ataque, mas não durante.
As empresas muitas vezes minam sua velocidade e eficácia de RI por não dar à equipe do SOC acesso suficiente, bem como informações. Por exemplo, os logs de auditoria geralmente incluem os endereços IP dos dispositivos afetados, mas alguns logs exibem apenas um endereço NAT interno e a equipe do SOC não pôde mapear facilmente e rapidamente endereços IP públicos para endereços IP NAT. Isso forçou a equipe do SOC – durante uma emergência – a entrar em contato com a equipe de infraestrutura de rede.
A equipe do SOC tem acesso a todos os ambientes de nuvem? Eles estão listados como contatos para toda a equipe de colocation e suporte em nuvem?
É comum que as pessoas de segurança usem analogias militares – especialmente referências de guerra – ao descrever estratégias de resposta a incidentes. Infelizmente, essas analogias são mais adequadas do que eu gostaria. Os invasores de hoje estão usando sistemas de aprendizado de máquina de ponta e, às vezes, são apoiados financeiramente por estados-nação. Seus sistemas são muitas vezes mais robustos e modernos do que o que as empresas usam para defesa. Isso significa que as estratégias de RI de hoje devem usar as ferramentas de ML para acompanhar. Os atacantes têm seus métodos cronometrados para o segundo, e eles sabem que têm que entrar, causar seu dano, exfiltrar seus arquivos e sair rapidamente. Os CISOs de hoje devem detectar e bloquear em ainda menos tempo.
FONTE: DARK READING