#CCSE22: «Сосредоточение внимания на сокращении времени до сдерживания — это способ снизить риск угрозы»


«Сведение к минимуму риска от киберугроз путем сосредоточения внимания на сокращении времени до сдерживания», — таков был призыв Милада Асланера, старшего директора по стратегии киберзащиты и связям с общественностью SentinelOne, во время его сессии, посвященной управлению безопасностью (SOC), на конференции Cloud and Cloud в этом году. Конференция по кибербезопасности в Excel, Лондон.

Выступление Асланера началось с описания крупнейших в мире утечек и взломов данных. Он указал на тот факт, что 97% заражений вредоносным ПО являются полиморфными — запускаются один раз и никогда больше. Кроме того, кибербезопасность сегодня стала реактивной: «чтобы наше начальство нас услышало, должно произойти что-то плохое». При попытке понять это необходимо учитывать различные факторы. Отправной точкой является «попытка лучше понять кибер-проблемы», — заметил Асланер.

Асланер обратил внимание на существующие проблемы в командах оперативного центра безопасности (SOC). Во-первых, это громкость оповещения. Он отметил:

  • 70% SOC более чем удвоили объем предупреждений безопасности за последние пять лет.
  • 99 % сообщают, что большое количество предупреждений создает проблемы для групп ИТ-безопасности.
  • 56% компаний с более чем 10 000 сотрудников обрабатывают более 1000 предупреждений безопасности в день.
  • 94 % не могут устранить все предупреждения системы безопасности в один и тот же день.

Во-вторых, существует проблема операций по обеспечению безопасности. Асланер подчеркнул:

  • 65% компаний лишь частично автоматизировали обработку предупреждений системы безопасности.
  • 65 % команд с высоким уровнем автоматизации устраняют большинство предупреждений безопасности в тот же день по сравнению с 34 % команд с низким уровнем автоматизации.
  • 92 % согласны с тем, что автоматизация — лучшее решение для обработки большого количества предупреждений.
  • 75 % сообщают, что им потребуются три или более дополнительных аналитика по безопасности для обработки всех предупреждений в тот же день.

Наконец, существует проблема управления оповещениями:

  • 88% организаций имеют проблемы с SIEM
  • Основной проблемой существующих решений SIEM является большое количество предупреждений.
  • 84 % видят множество преимуществ облачной SIEM для облачных или гибридных сред.
  • 99 % выиграют от дополнительных возможностей автоматизации SIEM

Сессия перешла к задачам аналитиков SOC. «Мы прошли через эпоху собирания всего», — заметил Асланер, но это оказалось непрактичным, если не невозможным. «У вас всегда будут слепые зоны». Асланер перечислил следующие проблемы аналитиков SOC:

  • Слишком много инструментов — функциональное дублирование создает операционные трудности и расходы
  • Слишком много шума — необработанные, некоррелированные данные замедляют способность реагировать достаточно быстро.
  • Повторяющаяся работа – повторение одних и тех же действий снова и снова.
  • Слишком много слепых зон — плохое покрытие современных угроз
  • Слишком много узких мест — координация людей, процессов и технологий создает проблемы масштабирования.

«Тогда нам нужно рассмотреть жизненный цикл реагирования на инциденты», — заметил Асланер. «Пришло время подумать о том, что мы меняем в своем поведении и процессах, чтобы лучше реагировать на внешние угрозы». Жизненный цикл реагирования на инциденты включает в себя:

  • Подготовка (подготовка к обработке инцидентов и предотвращение инцидентов)
  • Обнаружение и анализ (включая векторы атак, источники данных, документирование инцидентов и приоритизацию инцидентов)
  • Сдерживание, искоренение и восстановление (сбор и обработка доказательств, идентификация атакующих хозяев, искоренение и восстановление)
  • Восстановление после инцидента (извлеченные уроки, использование собранных данных об инцидентах и ​​сохранение доказательств)

«Естественно, в бой вступает вопрос, что, кто и когда», — прокомментировал Асланер. Команды SOC должны задать себе важные вопросы, в том числе «каковы масштабы нарушения?» «Как хакер проник внутрь?» «Кто атакует?» — Что известно? и «Каковы варианты исправления?»

Асланер подчеркнул этот последний вопрос и исследовал «разложение времени на сдерживание», спросив аудиторию: «Как мы становимся умнее и быстрее? Как нам минимизировать время до сдерживания?» Асланер рекомендует:

  1. Изолировать/отключить машину
  2. Обновите сигнатуры AV и выполните сканирование
  3. Сообщите команде ИТ-безопасности
  4. Восстановить последнюю известную резервную копию (вручную)
  5. Наблюдайте за полным циклом атаки, чтобы понять используемый метод

— Есть время и место для машин, — заметил Асланер. Он утверждал, что люди полезны для команды SOC, учитывая факторы интуиции, контекста, этики, творчества и стратегии. «Тем не менее, машинные интерфейсы могут помочь в сборе и поиске данных, сопоставлении с образцом, обобщении, обобщении и проверке гипотез».

Подводя итоги своего выступления, Асланер предупредил, что киберугрозы будут продолжать расти, а «атаки будут становиться все более изощренными». Кроме того, «большинство предприятий не могут реагировать на новые киберугрозы в течение первых 24 часов». Схемы SOC требуют обновления, поскольку «они и процессы устарели и требуют модернизации», — прокомментировал Асланер. Наконец, технологии могут помочь, но «многие организации по-прежнему используют устаревшие решения для обеспечения безопасности».

https://cyberxhack.org/