Widoczność i wizja

Home / Aktualności / Widoczność i wizja

Swego czasu centra danych były rewolucją. klimatyzowane środowisko pełne serwerów, zespół inżynierów gotowych do reakcji na najmniejszy problem, najwyższe możliwe przepustowości połączeń, redundacja zasilania… Dziś jest podobnie – z tym, że mówimy o kolosalnym centrum innego dostawcy – chmurze.

Ponieważ organizacje tracą bezpośrednią kontrolę nad swoimi aplikacjami, usługami i infrastrukturą, wymagana jest zmiana sposobu myślenia typu „ochrona i zapobieganie”. Nie wystarczy skoncentrować się tylko na zapobieganiu, a skuteczne możliwości wykrywania i reagowania muszą pozostać najlepszą inwestycją dla każdej organizacji, która chce zarówno skutecznej widoczności, jak i ograniczania ryzyka.

Budowanie skutecznego wykrywania i reagowania wymaga posiadania planu zarówno dla znanych, jak i nieznanych zagrożeń.
  • Znane zagrożenia są najłatwiejsze do pokonania, ponieważ wykrywanie jest łatwe, gdy przeciwnicy podejmują działania, które są oczywiście złośliwe. Obecnie przeciwnicy coraz częściej uważają, że takie jawne działania są niepotrzebne, gdy mogą po prostu dokooptować i nadużywać istniejących usług i dostępu. Jest to szczególnie prawdziwe w kontekście chmury, gdzie bezpośredni dostęp do płaszczyzny kontroli i administracyjnych interfejsów API zapewnia przeciwnikom dobrze zdefiniowany, skalowalny i skryptowalny zestaw opcji umożliwiającychostęp od początkowego dostępu do ich ostatecznych celów.
  • Nieznane zagrożenia, gdzie przeciwnicy próbują wtopić się w szum tła przedsiębiorstwa. Ataki w „szarej strefie” przecięcia między rodzajami działań, które przeciwnik musiałby podjąć, aby osiągnąć swoje cele, a zachowaniami rutynowo podejmowanymi przez autoryzowanych użytkowników w całym przedsiębiorstwie. W przypadkach, w których te zachowania się przecinają, ważnymi czynnikami odróżniającymi przeciwnika i zagrożenie wewnętrzne od łagodnego użytkownika są intencja, kontekst i autoryzacja.

Koncepcyjnie sprowadza się to do organizacji, która ma zarówno wizję, jak i widoczność. Organizacje muszą mieć:
  1. Wizję, aby zdefiniować autoryzowane użycie, związane z nim ryzyko oraz zasoby niezbędne do utrzymania i umożliwienia autoryzowanego użycia, jednocześnie zarządzając tym ryzykiem.
  2. doczność niezbędną do monitorowania i pomiaru odchyleń od tej wizji oraz możliwości przekształcenia tej widoczności w działanie.

WIZJA


Bez jasnego oczekiwania co do granic tego, co jest autoryzowane i oczekiwane, obrońcy bezpieczeństwa będą mieli trudności z robieniem czegokolwiek poza rozwiązywaniem oczywistych zagrożeń. Dlatego organizacje muszą mieć wizję tego, jak wygląda autoryzowane użycie, jeśli chodzi o wykorzystywane usługi w chmurze. Organizacje o niskim poziomie zaawansowania osiągają to dzięki udokumentowanym zasadom, które mogą nie wykraczać poza okresowy audyt i coroczny przegląd zarówno od personelu ogólnego, jak i zespołów ds. bezpieczeństwa, podczas gdy organizacje o wysokim poziomie zaawansowania wykorzystują te środki, aby stworzyć solidną kulturę bezpieczeństwa.


Wizja firmy dotycząca autoryzowanego korzystania z usług w chmurze powinna uwzględniać:
  • Jakie usługi i zachowania wewnętrzne są autoryzowane i w jakim kontekście należy z nich korzystać?
  • Czy istnieją specjalne przypadki, które wymagają zachowania wyjątków zasad lub nie?
  • Jakie oczekiwania wiążą się z użytkowaniem, przechowywaniem, udostępnianiem i wyszukiwaniem danych?
  • Kiedy rozwiązania pamięci masowej w chmurze są dopuszczalne w przypadku zastosowań, od indywidualnych użytkowników końcowych po architekturę aplikacji?
  • Jakie oczekiwania dotyczące ryzyka ustalono dla usług zewnętrznych, które zapewniają akceptowalną równowagę między przerostem shadow IT a ograniczeniem elastyczności i produktywności?
  • Jakie parametry operacyjne i zabezpieczenia mają towarzyszyć zachowaniom związanym z tymi usługami zewnętrznymi?


WIDOCZNOŚĆ


Aby coś działało, należy to mmonitorować i mierzyć – tak jak odchylenia od wizji. Rozwiązanie tego wyzwania wymaga zrozumienia zachowań, do których przeciwnicy są zmotywowani, oraz celowego gromadzenia i agregowania danych, które ujawniają te zachowania w sposób, który może zoperacjonalizować zespół ds. bezpieczeństwa.


Oto lista kontrolna potrzebna zespołom ds. bezpieczeństwa, aby zapewnić widoczność:


Usługi:

  • Czy obrońcy są w stanie wykryć złośliwe ataki, które przechodzą do, za pośrednictwem lub z korporacyjnych usług w chmurze?
  • Czy zaawansowane narzędzia, takie jak Microsoft 365 (O365) PowerAutomate, są podatne na nadużycia w zakresie dowodzenia i kontroli (C2) poza obserwacją zespołu ds. bezpieczeństwa?
  • Czy osoby atakujące mogą dokooptować lub nadużywać narzędzi do zbierania elektronicznych materiałów dowodowych bez wykrycia?


Zarządzanie:

  • Czy istnieje wystarczający wgląd w niewłaściwe wykorzystanie i nadużywanie funkcji administracyjnych i zarządczych? Na przykład, jeśli przeciwnicy lub osoby poufne wykonują ryzykowne operacje w O365 Exchange w celu zbierania lub eksfiltracji poufnych informacji, czy zespół ds. bezpieczeństwa może je wykryć?


Łańcuch dostaw:

  • Czy obrońcy mają ślepy punkt, gdy zaufani dostawcy lub usługodawcy zostali naruszeni?
  • Jeśli przeciwnik może zdobyć przyczółek do środowiska poprzez łańcuch dostaw, czy to koniec gry, czy gra dalej?


Widoczność wymaga połączenia szerokości i głębokości pokrycia oraz wierności generowanego sygnału. Zdolności do skoncentrowania się na zdarzeniach istotnych z punktu widzenia bezpieczeństwa w celu stworzenia informacji, które umożliwią podjęcie działań mających na celu ograniczenie ryzyka. Gdy zespół osiągnie ten cel, może połączyć te wydarzenia, aby opowiedzieć całą historię — przekształcając te dane w informacje i inteligencję.



Częste mylenie efektywnej widoczność z nadmiarem danych, przekształciło cele w zakresie widoczności w ćwiczenia polegające na nadmiernym gromadzeniu danych. A nawet skoncentrowany zestaw danych może wymagać szybkości, różnorodności i objętości danych na dużą skalę. Oznacza to, że ​​osiągnięcie tego celu wymaga zrozumienia,tego jak najlepiej wykorzystać możliwości zarówno maszyny, jak i człowieka.


Operacjonalizacja tej inteligencji przeciwko wszystkim, ale najmniej wyrafinowanym przeciwnikom, prawie na pewno będzie wymagała pewnego poziomu inteligencji maszynowej, aby okiełznać zalew działań. Na szczęście SOC maja teraz dostęp do inteligencji maszynowej. Organizacje, które osiągają najlepsze wyniki, rozumieją, jak wdrażać maszyny, aby robić to, co maszyny robią najlepiej — mianowicie przesiewać duże ilości danych — jednocześnie wspomagając  ludzi, aby robili to, co robią lepiej. Wykorzystywali kreatywność, intuicję, rozumowanie, odpowiednie osadzenie w kontekście i osąd.






Powiązane artykuły

Vectra AI – oszczędność czasu, detekcja zagrożeń i szybka reakcja
Vectra Cognito: proste i skuteczne rozwiązanie dla ochrony Microsoft Office 365
Analiza behawioralna – blokada ataku na wczesnym etapie
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji