Threat Intelligence и реагирование на инциденты: проактивная борьба с киберугрозами

Если вы еще не пользуетесь кибер-разведкой, самое время начать. Последние случаи утечки данных демонстрируют, что злоумышленники весьма преуспели в способах проникновения внутрь корпоративных сетей и длительно там пребывают, оставаясь незамеченными. Зачастую компании месяцами, а порой годами с момента первого проникновения, не знают, что их взломали и частенько узнают об этом от третьих лиц.

Стратегии безопасности, сосредоточенной на блокировке атак на периметре и реагировании на инциденты по факту, уже недостаточно, чтобы противостоять целевым, скрытым и устойчивым атакам. Необходимы меры для проактивной разведки и нейтрализации угроз безопасности до того, как они реализуются.

Кибер-разведка позволяет команде реагирования на инциденты открыто выходить на врага, а не пассивно ждать, когда он себя проявит. Институт SANS описывает кибер-разведку как «сфокусированный и итерационный подход к выслеживанию, идентификации и пониманию противника, который проник в сети защищающейся стороны». Она включает в себя использование внешней кибер-разведки, внутренней телеметрии и других данных, необходимых для раскрытия злоумышленников, которые имеют цель, средства и возможности нанести вред. Инструменты кибер-разведки, развернутые правильным образом, могут сократить время пребывания злоумышленников в сетях и снизить дальнейшие риски.

Кибер-разведка требует совсем другого мышления нежели подход, сосредоточенный на реагировании на инциденты и алерты. Ее основная цель – выявить персону скрытого врага в вашей сети, а не только его инструменты и вредоносный код. Она требует от вас думать также как противник и понимать, какие системы и данные в вашей сети злоумышленник будет с наибольшей вероятностью атаковать, чтобы начать с защиты именно этих активов в первую очередь.

Умелая команда реагирования на инциденты жизненно необходима для результативности кибер-разведки. Пока вы не сможете обеспечить быстрое противостояние найденным угрозам и восстановление, большой пользы от охоты на них и обнаружения не будет. Это особенно важно по мере совершенствования возможностей вашей команды кибер-разведки. Как только ваши разведчики станут быстрее и лучше выявлять новые угрозы, ваша команда реагирования на инциденты должна научиться расставлять приоритеты и отвечать на найденные угрозы с той же эффективностью.

Чтобы быть эффективными в разведке, команды безопасности должны иметь доступ к множеству данных внутренней и внешней телеметрии и кибер-разведки. Например, для обнаружения скрытого противника, вам нужно знать, что именно искать, где и когда. Зачастую эта задача требует корреляции данных из различных источников, которые, в свою очередь, требуют высокого уровня автоматизации. Понадобятся инструменты для автоматического сбора и агрегации данных из набора источников и быстрого выявления перекрестных связей и анализа информации. Также важно обучить аналитиков из вашей команды различным навыкам. Сюда входят компетенции по обеспечению безопасности, реагированию на инциденты, форензика и анализ вредоносного кода.

Конечно, скомбинировать все, что вам нужно для эффективной кибер-разведки, нелегко, но оно того стоит. Многие дальновидные организации уже внедрили в практику кибер-разведку, другие следуют их пути. Согласно данным исследования института SANS, проведенном в апреле 2017 года, 27% из 306 компаний, принявших в нем участие, имеют определенную программу по кибер-разведке и следуют ей. Еще 45% привлекают кибер-разведку хотя бы на периодической основе без формально определенных процессов. Организации, которые добились измеримого повышения безопасности в результате использования кибер-разведки, часто упоминают скорость и точность среди самых значимых результатов.

Разведка подразумевает проактивный подход к столкновению с угрозами в вашей сети. Имеет смысл внедрить хотя бы некоторые из ее методов в ближайшее время.

По материалам Darkreading

Поделиться записью: