0
0
Nesta entrevista da Help Net Security, Scott Sutherland, vice-presidente de pesquisa da NetSPI , investiga as complexidades de sua plataforma Breach and Attack Simulation (BAS) e discute como ela oferece recursos exclusivos – de procedimentos personalizáveis a jogadas avançadas – que ajudam as organizações a maximizar seus ROI.
Esta entrevista também explora o papel crucial dos Indicadores Chave de Desempenho (KPIs) no acompanhamento da eficácia das medidas de segurança. Isso nos dá uma prévia dos painéis em tempo real do NetSPI que estão configurados para mudar a forma como os profissionais de segurança interagem com os dados.
Você pode fornecer uma visão geral de alto nível da plataforma de simulação de violação e ataque da NetSPI e o que a torna única?
Fornecemos uma plataforma centralizada de controle de detetive que permite que as organizações criem e executem procedimentos personalizados utilizando tecnologia desenvolvida especificamente e testadores humanos profissionais. Simule comportamentos de ataque do mundo real, não apenas IOCs, e teste seus controles de detetive de uma forma que nenhuma outra organização consegue.
Você pode falar sobre como as organizações podem visualizar o ROI por meio da plataforma NetSPI?
As soluções de simulação de violação e ataque devem ajudar a fornecer ROI de diversas maneiras:
- As soluções BAS devem fornecer insights de dados sobre onde estão suas lacunas de detecção e controle preventivo, para que você possa fazer escolhas inteligentes sobre onde investir seu investimento em segurança. Isto deve incluir relatórios pontuais e extraordinários para justificar ou validar os investimentos de forma significativa. Por exemplo, isto deve incluir visualizações que mostrem como os investimentos em novas fontes de dados podem aumentar a cobertura de alertas para comportamentos de ataque comuns. Outro exemplo típico seria visualizar o aumento nos resultados da cobertura das regras de detecção ao adicionar outro engenheiro de detecção.
- Recrutar, treinar e educar equipes de pentest e SOC pode levar tempo e dinheiro. A maioria das ferramentas BAS deve incluir material educacional que suas equipes possam usar para entender como executar e detectar comportamentos de ataque comuns no aplicativo. Isso pode economizar tempo e dinheiro a longo prazo.
- Existem centenas, senão milhares, de ferramentas de hackers. Pesquisar, instalar e executá-los para simular o comportamento malicioso mais recente pode ser demorado e arriscado se os mecanismos forem melhor compreendidos. As soluções BAS podem tirar isso da responsabilidade da sua equipe para que ela possa se concentrar em fazer o trabalho de simulação, engenharia de detecção e validação/ajuste de controle.
- Por fim, rastrear as tendências médias de ransomware pode ajudar as pessoas a estimar o custo potencial dos incidentes de ransomware que as soluções BAS foram projetadas para ajudar a prevenir e detectar.
Como a plataforma permite que as organizações criem, configurem e executem procedimentos personalizáveis? Você poderia nos explicar um cenário típico de caso de uso?
A plataforma NetSPI BAS oferece muitos recursos de personalização para atender aos casos de uso diário.
As jogadas podem ser usadas na plataforma para automatizar a execução de comportamentos e procedimentos esperados que os invasores do mundo real usam. Todos com opções de personalização.
As jogadas avançadas oferecem aos usuários flexibilidade adicional, portanto, se eles podem sonhar, eles podem realizá-lo. Os pacotes de jogo avançados oferecem aos usuários os meios para fazer muitas coisas, incluindo, mas não se limitando a, descartar cargas úteis, executar comandos arbitrários, executar código arbitrário e até mesmo reproduzir capturas de pacotes por meio de agentes implantados.
Os playbooks permitem que os usuários executem jogadas em qualquer sequência que desejarem. Isso permitirá que eles simulem TTPs para um agente de ameaça específico ou executem os comportamentos necessários para os casos de uso da equipe roxa ou vermelha.
Quais comportamentos de ataque do mundo real podem ser simulados usando a plataforma NetSPI?
Passamos muito tempo pesquisando os procedimentos de ataque dos agentes de ameaças em cada fase da cadeia MITRE ATT&CK Kill e outras estruturas. Então, pegamos essas lições aprendidas e as aproveitamos para priorizar o desenvolvimento dos procedimentos e ações que colocamos na plataforma para que sejam mais significativos para nossos clientes. Como resultado, nossos clientes podem simular uma infinidade de comportamentos de atores de ameaças do mundo real e ajudá-los a se preparar para a próxima onda de grupos de hackers que provavelmente usarão alguns dos mesmos “hackers trapaceiros” de seus antecessores.
Você poderia discutir o papel dos KPIs no rastreamento e na tendência da eficácia dos controles de segurança?
Muitas equipes SOC confiam fortemente no tempo médio de resposta como um de seus principais KPIs. No entanto, eles não medem se sua pilha de tecnologia fornece a cobertura de monitoramento/alertas necessária para detectar comportamento malicioso padrão em seu ambiente. Em muitos casos, a equipe de resposta pode ser tão boa quanto os alertas em seu painel. Portanto, um de seus KPIs deve estar vinculado à pergunta: “Os alertas certos estão aparecendo?”. Na ausência de saber qual deveria ser esse benchmark, muitas empresas acabam confiando inquestionavelmente em seus fornecedores de segurança, sem validação. As soluções BAS devem ser capazes de fornecer métricas significativas para rastrear se comportamentos maliciosos comuns estão chegando aos seus painéis de IR.
Esteja você monitorando a cobertura global ou o nível de cobertura que seus fornecedores oferecem, recomendamos prestar atenção ao seguinte:
1. Número de cobertura típica de TTPs pela fase MITRE ATT&CK ao longo do tempo, não apenas no nível técnico, mas no nível do procedimento. Além disso, acompanhe os níveis de registro, alerta, prevenção e ticket de resposta de cada procedimento.
2. Número de TTPs comuns comumente associados ao ransomware ao longo do tempo, não apenas no nível técnico, mas também no nível do procedimento. Além disso, acompanhe os níveis de registro, alerta, prevenção e ticket de resposta de cada procedimento.
3. O número de novos procedimentos introduzidos ao longo do tempo com base na inteligência sobre ameaças.
Você pode se aprofundar nos painéis em tempo real? Que tipo de informações eles fornecem e quão acionáveis são os dados para os profissionais de segurança?
A Plataforma oferece a capacidade de criar operações que podem ser organizadas por sistema, região, unidade de negócios e muito mais. Os relatórios podem ser direcionados a essas operações para fornecer uma visão pontual de onde está sua cobertura de detecção hoje e como ela melhorou ao longo do tempo. Também estamos adicionando boletins de fornecedores que serão lançados no final do ano para que você possa avaliar o desempenho de seus investimentos em fornecedores de segurança.
Que conselho você daria para as organizações que estão considerando implementar simulação de violação e ataque em sua postura de segurança?
Certifique-se de entender o que você está tentando obter com nossas soluções de simulação de violação e ataque e chegue à discussão do fornecedor com uma lista sólida de requisitos com os quais você pode trabalhar. Isso ajudará a garantir o alinhamento e obter o que você precisa do serviço ou produto.
Abaixo estão alguns dos objetivos comuns que ouvimos dos clientes:
- Queremos entender onde estão nossas lacunas de detecção para que possamos fazer escolhas melhores ao investir em pessoal e em recursos de fornecedores de segurança.
- Queremos entender quanta cobertura de detecção/prevenção temos para nossas classes de ativos, regiões e unidades de negócios padrão.
- Queremos ajudar a educar e capacitar nossa equipe interna de engenharia vermelha, roxa e de detecção por meio de TTP no aplicativo.
- Queremos KPIs melhores e mais significativos para habilitar e capacitar nosso SOC.
- Queremos uma maneira melhor de avaliar nossos fornecedores de segurança.
- Queremos realizar validação de controle contínua para os controles de detecção/preventivos que já temos.
FONTE: HELP NET SECURITY