Υπάρχει ένα σαφές χάσμα μεταξύ προσδοκίας και πραγματικότητας όταν πρόκειται για ελέγχους ασφαλείας.
Παρά την ανάπτυξη των καλύτερων εργαλείων ασφαλείας και της οικοδόμησης ομάδων ικανών, πολλοί οργανισμοί ανακαλύπτουν την αλήθεια μόνο μετά από παραβίαση: οι έλεγχοι τους δεν λειτουργούσαν όπως αναμενόταν.
Σκεφτείτε να αλλάξετε έναν λάμπα – ενεργοποιείτε τον για να ελέγξετε αν λειτουργεί. Οι έλεγχοι ασφαλείας σπάνια λαμβάνουν την ίδια επικύρωση. Αντ ‘αυτού, τα κριτήρια επιτυχίας γίνονται “μην παραβιάζετε την παραγωγή”, η οποία δεν ελέγχει πραγματικά αν οι έλεγχοι ασφαλείας είναι αποτελεσματικοί.
Δεν είναι για την έλλειψη προσπάθειας, αλλά οι παραδοσιακές μεθόδους – όπως οι έλεγχοι συμμόρφωσης και οι δοκιμές διείσδυσης – μην απαντήσετε πλήρως στην ερώτηση, “Θα κερδίσαμε;“Αν επιτεθεί.
Ως αποτέλεσμα, τα τυφλά σημεία παραμένουν.
Οι παραδοσιακές δοκιμές ασφαλείας υπολείπονται
Έλεγχοι συμμόρφωσης Επικεντρωθείτε στην πολιτική και τη διαδικασία, αλλά σπάνια συμμετέχετε σε δοκιμές επιχειρησιακής διασφάλισης που επιβεβαιώνει, “Λειτουργεί αυτό όπως αναμενόταν;«
Απαντώντας “Έχετε λογισμικό προστασίας από ιούς;” Είναι πολύ διαφορετικό από το “Πόσο καιρό χρειάζεται για να αφαιρεθεί ένα κακόβουλο αρχείο και να ειδοποιηθεί η ομάδα σας;”
Οι δοκιμές διείσδυσης μπορούν να επισημάνουν τα κενά ασφαλείας, αλλά συχνά αντικατοπτρίζουν μια συγκεκριμένη διαδρομή επίθεσης που επιλέγονται από τους δοκιμαστές και όχι μια ολοκληρωμένη αξιολόγηση όλων των πιθανών σημείων αποτυχίας.
Το τελικό αποτέλεσμα; Τα κενά (ή τα τυφλά σημεία) που συνήθως δεν ανακαλύπτονται μέχρι να τα βρει κάποιος άλλος για εσάς.
Πέντε πιο συνηθισμένοι λόγοι για τους ελέγχους ασφαλείας αποτυγχάνουν
Οι αποτυχίες συμβαίνουν και στα δύο εργαλεία ασφαλείας-όπως οι ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEGS), η ανίχνευση και η ανταπόκριση στο τελικό σημείο (EDR) και τα συστήματα πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM)-και στις ομάδες ασφαλείας, είτε στο εσωτερικό είτε στο διαχειριζόμενο ή να διαχειριστούν τους παρόχους ανίχνευσης και ανταπόκρισης (MDR).
Μπορούμε να τα κατηγοριοποιήσουμε σε οργανισμούς για την πρόληψη, την ανίχνευση και τις επενδύσεις στην αντίδραση.
Μάθετε πώς η διαχειριζόμενη υπηρεσία παραβίασης και προσομοίωσης επιθέσεων της OnDefend (BAS) βοήθησε έναν σημαντικό πάροχο υγειονομικής περίθαλψης των ΗΠΑ να επικυρώσει τους ελέγχους ασφαλείας, να κρατήσει τους προμηθευτές υπεύθυνες, να μειώσουν τον κίνδυνο και να προστατεύουν τα δεδομένα των ασθενών.
Πέντε πρώτες αιτίες πρόληψης απειλών, ανίχνευσης και αποτυχίας απόκρισης
- Εξάπλωση πολιτικής – Συχνά η ιδανική πολιτική από την άποψη της ασφάλειας συγκρούεται με τις ανάγκες για εξουσιοδοτημένη δραστηριότητα. Αυτό σημαίνει ότι ο πληθυσμός σας στο εργαλείο ασφαλείας διασκορπίζεται σε διάφορες πολιτικές με διαφορετικές ρυθμίσεις και κανόνες, συχνά με σημαντικές διαφορές σε σχέση με τη συνολική απόδοση. Συχνά βλέπουμε τους οργανισμούς να αναπτύσσουν πολύ καλά κατασκευασμένες πολιτικές για τα εργαλεία EDR τους και στη συνέχεια να συνειδητοποιήσουν ότι η πλειοψηφία του πληθυσμού του στόλου βρίσκεται στην προεπιλεγμένη πολιτική, λείπει η ευκαιρία να επωφεληθεί από την εργασία που εκτελεί η ομάδα.
- Ατελείωτες αλλαγές διαμόρφωσης – Οι ψευδείς θετικές ειδοποιήσεις καταναλώνουν το μεγαλύτερο μέρος των αναλυτών SOC. Τι γίνεται αν η διαμόρφωση αλλάξει για να μειώσει αυτό το θόρυβο τυχαία σιωπά και αληθινά θετικά γεγονότα; Σφάλματα στο ερώτημα προειδοποίησης ή τυχαία εφαρμόζοντας την εξαίρεση σε όλα τα συστήματα συμβαίνουν συχνά.
- Δυνατότητα εκτέλεσης του playbook – Οι περισσότεροι οργανισμοί έχουν κάνει μια εξαιρετική δουλειά που δημιουργούν τα παιχνίδια απειλής κυνηγιού και αντίδρασης περιστατικών. Αλλά οι αναλυτές έχουν ποτέ την ευκαιρία να εκτελέσουν αυτές τις δραστηριότητες στην παραγωγή; Εάν έχετε την προσδοκία ότι ένας αναλυτής SOC μπορεί να εκτελέσει ένα κυνήγι στόλου για ένα αρχείο με δεδομένη τιμή κατακερματισμού, οι πιθανότητες δεν είναι όλοι στην ομάδα να μπορούν να το κάνουν σωστά χωρίς συνεχή εκπαίδευση.
- Υποχρεωτική ανάπτυξη –Η ανάπτυξη του εργαλείου ασφαλείας ταιριάζει αρχικά, αλλά καθώς το περιβάλλον μεγαλώνει, έχουν την ικανότητα και την αδειοδότηση να συνεχίσουν; Δεν είναι ασυνήθιστο για τις ανεπαρκείς αναπτύξεις να οδηγούν σε πολύ μεγάλους χρόνους επεξεργασίας, γεγονός που μεταφράζεται σε καθυστερήσεις στην ομάδα σας που ειδοποιείται για κακόβουλη δραστηριότητα, μερικές φορές ώρες.
Παράδειγμα πραγματικού κόσμου
Ένας πελάτης είχε προσθέσει κάποιες νέες πηγές δεδομένων στη συλλεγμένη τηλεμετρία, αυτά τα νέα αρχεία καταγραφής που προέρχονται από συσκευές τελικού χρήστη σε όλο το στόλο. Η ξαφνική αύξηση της καταγραφής κατακλύζεται το σύστημα SIEM (Πληροφορίες ασφαλείας και διαχείρισης συμβάντων) που είχαν, δημιουργώντας μια τεράστια καθυστέρηση των ημερολογίων που θα επεξεργαστούν. Οι ειδοποιήσεις που αναζητούσαν θα έφταναν – 6 ώρες μετά την εμφάνιση του γεγονότος. Μόνο όταν εισήχθη αυτοματοποιημένη δοκιμή, ανακαλύφθηκε αυτό το ζήτημα.
- Αλλαγές γύρω από τα εργαλεία – Συχνά το ίδιο το εργαλείο ασφαλείας λειτουργεί πολύ – αλλά το περιβάλλον γύρω από το εργαλείο έχει αλλάξει στο σημείο ότι το εργαλείο δεν είναι πλέον αποτελεσματικό.
Παράδειγμα πραγματικού κόσμου
Ένας οργανισμός προσέλαβε τρίτο μέρος για την παρακολούθηση της ασφάλειας, συμπεριλαμβανομένης της ID δικτύου που αναλύει την κυκλοφορία από δρομολογητές πυρήνα. Μετά από μια επίθεση δεν ανιχνεύθηκε, ζήτησαν από τον πωλητή γιατί – μόνο να μάθει μια αλλαγή δικτύου μήνες νωρίτερα είχε διακόψει την κυκλοφορία στα αναγνωριστικά. Παρά τη λήψη δεδομένων για μήνες, ποτέ δεν προκάλεσε ειδοποίηση ή σφάλμα.
Η ανάγκη συνεχούς επικύρωσης
Ο μόνος τρόπος για την καταπολέμηση αυτών των αποτυχιών είναι η τακτική δοκιμή των διαδικασιών ανίχνευσης ασφαλείας. Για να κλιμακωθεί αποτελεσματικά, οι δοκιμές ελέγχου πρέπει να είναι αυτοματοποιημένες επισημαίνοντας ελαττώματα κατά την καταλογογράφηση των επιτυχιών και τον υπολογισμό των βασικών μετρήσεων όπως Μέσος χρόνος ανίχνευσης (MTTD) και Μέσος χρόνος για απάντηση (MTTR).
Μεταβίβαση συνεχούς νοοτροπίας δοκιμών
Οι υπηρεσίες προσομοίωσης προσομοίωσης παραβίασης και επίθεσης (BAS) παρέχουν συνεχή διαβεβαίωση χωρίς να προσθέτουν επιχειρησιακό βάρος. Όταν συνδυάζεται με τη δοκιμή διείσδυσης, η BAS εξασφαλίζει μια πιο ολοκληρωμένη στρατηγική ασφάλειας.
Η κατοχή των υπεύθυνων των προμηθευτών είναι ένα άλλο βασικό βήμα-οι συνεχείς δοκιμές παρέχουν στοιχεία που βασίζονται σε δεδομένα για τη μέτρηση της απόδοσης των προμηθευτών έναντι των SLA, βοηθώντας τους οργανισμούς να απαιτούν καλύτερη εξυπηρέτηση, να επαναδιαπραγματευτούν συμβάσεις ή να συγκρίνουν λύσεις προτού λάβουν αποφάσεις αγοράς. Τέλος, οι ηγέτες της ασφάλειας πρέπει να κοινοποιούν την αποτελεσματικότητά τους σε επιχειρηματικούς όρους, χρησιμοποιώντας μετρήσεις όπως τα ποσοστά ανίχνευσης, τους χρόνους απόκρισης και τη μείωση του οικονομικού κινδύνου για να ποσοτικοποιήσουν την αξία της ασφάλειας και σε ορισμένες περιπτώσεις να αξιοποιήσουν τα δεδομένα αυτά για να μειώσουν τα ασφάλιστρα στον κυβερνοχώρο.
Εμπιστευθείτε, αλλά επαληθεύστε ότι οι επενδύσεις ασφαλείας σας θα λειτουργήσουν
Οι ηγέτες της ασφάλειας έχουν πάντα επιδιώξει τη διαβεβαίωση ότι οι επενδύσεις τους στον κυβερνοχώρο εκτελούν όπως προβλέπεται. Με τους εταιρικούς ενδιαφερόμενους που απαιτούν μετρήσιμες αποδείξεις, η συνεχής επικύρωση ασφαλείας γεφυρώνει την ασφάλεια, τη μείωση των κινδύνων και τους επιχειρηματικούς στόχους – να μετατρέψει την ασφάλεια στον κυβερνοχώρο από ένα κέντρο κόστους σε στρατηγικό παράγοντα.
Η επικύρωση άμυνας ransomware της OnDefend Η διαχειριζόμενη υπηρεσία επιτρέπει στις ομάδες ασφαλείας να δοκιμάζουν συνεχώς και να επικυρώσουν τους ελέγχους ασφαλείας τους, εξασφαλίζοντας την ορατότητα σε πραγματικό χρόνο σε πιθανές τυφλές κηλίδες.
Μην αφήσετε τους κακούς να κάνουν την επικύρωση για εσάς. Σταματήστε να υποθέτετε ότι τα χειριστήρια σας θα λειτουργήσουν – θα το προμηθεύσει.
Δείτε τη διαφορά συνεχής επικύρωση στο πρόγραμμα ασφαλείας σας.
Μάθετε περισσότερα σχετικά με ένα προσαρμοσμένο πρόγραμμα επικύρωσης άμυνας.
Χορηγός και γραμμένο από Ondefend.
VIA: bleepingcomputer.com
