Threat Intelligence и реагирование на инциденты: проактивная борьба с киберугрозами

Если вы еще не пользуетесь киберразведкой, самое время начать. Последние случаи утечек данных говорят о том, что злоумышленники весьма преуспели в способах проникновения внутрь корпоративных сетей и длительно там пребывают, оставаясь незамеченными. Зачастую компании месяцами, а порой годами с момента первого проникновения, не знают о взломе и частенько узнают об этом от третьих лиц.

Стратегии безопасности, сосредоточенной на блокировке атак на периметре и реагировании на инциденты по факту, уже недостаточно, чтобы противостоять целевым, скрытым и устойчивым атакам. Необходимы меры для проактивной разведки и нейтрализации угроз безопасности до того, как они реализуются.

Киберразведка позволяет команде реагирования на инциденты открыто выходить на врага, а не пассивно ждать, когда он сам себя проявит. Институт SANS определяет киберразведку как «сфокусированный и итерационный подход к выслеживанию, идентификации и пониманию противника, который проник в сети защищающейся стороны». Она включает в себя использование внешней киберразведки, внутренней телеметрии и других данных, необходимых для раскрытия злоумышленников, у которых есть цель, средства и возможности, чтобы нанести вред. Инструменты киберразведки, развернутые правильным образом, позволят сократить время пребывания злоумышленников в сети и снизят дальнейшие риски.

Киберразведка требует совсем другого мышления нежели подход, сосредоточенный на реагировании на инциденты и алерты. Ее основная цель – выявить персону скрытого врага в вашей сети, а не только его инструменты и вредоносный код. Она заставляет вас думать также как противник и понимать, какие системы и данные в вашей сети злоумышленник будет с наибольшей вероятностью атаковать, чтобы начать с защиты именно этих активов в первую очередь.

Умелая команда реагирования на инциденты жизненно необходима для результативности киберразведки. Пока вы не сможете обеспечить быстрое противостояние найденным угрозам и восстановление, не будет большой пользы от охоты на них. Это особенно важно по мере совершенствования возможностей вашей команды киберразведки. Как только ваши разведчики станут быстрее и лучше выявлять новые угрозы, команда реагирования на инциденты должна научиться расставлять приоритеты и отвечать на найденные угрозы с той же скоростью.

Чтобы быть эффективными в разведке, команды безопасности должны получить доступ к множеству данных внутренней и внешней телеметрии и данным киберразведки. Например, для обнаружения скрытого противника, нужно знать, что именно искать, где и когда. Зачастую эта задача требует корреляции данных из различных источников, которые требуют высокого уровня автоматизации. Понадобятся инструменты для автоматического сбора и агрегации данных из набора источников, быстрого выявления перекрестных связей и анализа информации. Также важно провести обучение аналитиков важным навыкам. К ним относятся компетенции по обеспечению безопасности, реагированию на инциденты, форензика и анализ вредоносного кода.

Конечно, обеспечить все необходимые условия для эффективной киберразведки нелегко, но оно того стоит. Многие дальновидные организации уже внедрили в практику киберразведку, другие следуют их пути. Согласно данным исследования института SANS, проведенном в апреле 2017 года, у 27% из 306 компаний, принявших в нем участие, есть определенная программа по киберразведке, которой они следуют. Еще 45% привлекают киберразведку хотя бы на периодической основе без формально определенных процессов. Организации, которые добились измеримого повышения безопасности в результате использования киберразведки, часто упоминают скорость и точность среди самых значимых результатов.

Разведка подразумевает проактивный подход к столкновению с угрозами в вашей сети. Имеет смысл внедрить хотя бы некоторые из ее методов в ближайшее время.

По материалам Darkreading

Поделиться записью: