Ako na efektívny koncept bezpečnostnej architektúry?

|

Z analýzy efektívnosti bezpečnostných riešení prevádzkovateľa SOC vyplynulo, že väčšina firiem sa zaoberá detekciou udalostí, ktoré majú nízku hodnotu (mnohé sú „false positive“). Bezpečnostné tímy zákazníkov strávili viac ako dva roky správnou konfiguráciou SIEM. Detekcia a reakcia na bezpečnostné incidenty sa predĺžili vzhľadom na potrebnú komunikáciu s ďalšími oddeleniami. Chýbala taktiež znalosť odborníkov, ktorí vyhodnocujú udalosti.

Hĺbková a široká viditeľnosť

Čo to vlastne je? Systém ADR nám musí na jednej obrazovke poskytnúť nezávislú viditeľnosť toho, čo sa deje v sieťach, ale aj na koncových bodoch – ako vo virtuálnych, tak aj vo fyzických prostrediach. Hĺbková viditeľnosť znamená mať prehľad o paketoch, ktoré prechádzajú sieťou, o sieťových spojeniach a obsahu vrátane obsahu ukrytého hlboko v súboroch, ktorý nie je viditeľný v paketoch. Široká viditeľnosť znamená mať prehlaď o všetkých sieťových protokoloch a portoch vrátane neštandardných a neznámych prechádzajúcich cez proxy, a to ako o prichádzajúcich, tak aj odchádzajúcich spojeniach. Pri koncových bodoch pojem „hĺbková“ znamená mať prehľad o procesoch, pamäti, pamäťových médiách, manipulácii so súbormi, sieťových aktivitách, zmene registrov.

Viditeľnosť v reálnom čase a retrospektívne

Na efektívne odhaľovanie bezpečnostných udalostí je potrebné poskytnúť viditeľnosť nielen toho, čo sa deje teraz, ale aj toho, čo sa stalo v minulosti. Systém musí neselektívne uchovať podrobné informácie popisujúce, čo sa dialo na sieti, koncových bodoch bez ohľadu na to, či to bolo považované za podozrivé alebo nie. To umožní bezpečnostným tímom vrátiť sa v čase a odhaliť hrozby na základe určitého vzorca chovania a využiť výhody sekvenčnej analýzy.

Korelácia, validácia a konsolidácia

Efektívna činnosť bezpečnostných tímov vyžaduje, aby jediná platforma poskytovala informácie a akceleráciu. Poskytovať informácie však neznamená poskytovať čo najviac alarmov a dúfať, že v nich bude niekde ukrytá a odhalená správna informácia. Poskytovať informácie znamená maximálne odfiltrovať šum, neužitočné informácie a falošné alarmy a zároveň kombinovať obsah, kontext, telemetriu a validné zistenia.

Účinná detekcia hrozieb

V mnohých prípadoch spoločnosti ani netušia, že sú obeťami kybernetických útokov. Odhaľovanie minulých a aj budúcich útokov, detekcia a prevencia vo všetkých fázach cyklu útoku či nepretržité mapovanie siete s jej aktivitami sú kľúčovým prvkom účinnej detekcie hrozieb. Dosiahnete ich automatickým analyzovaním či porovnávaním hrozieb s novými signatúrami a pravidlami.

Identifikácia „pacienta nula“

Identifikovaním prvej „obete“ spoločne s veľkosťou a rozsahom útoku vám umožní odhaliť hĺbku a závažnosť incidentov a okamžite začať s nápravou.

Schopnosť určiť, k čomu došlo

Potvrdiť, že útok mal skutočne dosah na spoločnosť, je najdôležitejším krokom pred reakciou. Potvrdenie detegovaných útokov je náročné na čas aj znalosti. Väčšinou je potrebná spolupráca viacerých organizačných útvarov v rámci spoločnosti. Aby bola činnosť bezpečnostných tímov efektívna, je nevyhnutné automatizovať validačné kroky a automaticky sledovať a vyhodnocovať útoky, podozrivé a škodlivé chovanie od bodov detekcie až k ich prejavom na koncových systémoch.

Okamžitá reakcia

Buďte schopní reagovať na incident vlastnými silami. Môžete tak skrátiť čas prešetrovania z pôvodných pár týždňov na pár hodín. Automatická validácia, korelácia a zber dát týkajúcich sa hrozieb umožňujú reagovať zásadne rýchlejšie. Dosiahnete tým zvýšenie efektivity bezpečnostných špecialistov pomocou okamžitej reakcie.

Vložiť komentár