Повысьте уровень своей кибербезопасности с помощью системы защиты от угроз

Hosting Fozzy

Защита с учетом угроз — это проверенный метод максимального повышения эффективности вашей организации в предотвращении кибератак. Это руководство познакомит вас с его основными принципами.

Повысьте уровень своей кибербезопасности с помощью системы защиты от угроз

За последние несколько лет популярность использования аналитики угроз возросла, но группам безопасности по-прежнему трудно интегрировать аналитику в свои существующие программы. И реальность такова, что многие программы безопасности все еще находятся на ранних стадиях зрелости, что делает интеграцию действий по анализу угроз в их существующие, в некоторой степени повторяющиеся процессы, еще более сложной задачей.

Кроме того, группы безопасности уже работают с минимальными затратами, а добавление операций по анализу угроз может еще больше распределить ресурсы. Но эта проблема не означает, что защита с учетом угроз должна ждать. Несмотря на то, что многие крупные организации разработали программы анализа угроз для поддержки полностью интегрированной модели защиты с учетом угроз, менее зрелые группы безопасности могут по-прежнему использовать общие сценарии использования данных об угрозах, такие как выявление отраслевых угроз и поведения злоумышленников, не повышая свою безопасность.

Итак, в этой статье мы обсудим цель защиты с учетом угроз, как начать работу с ней, а также выделим распространенные варианты использования, которые организации могут использовать сегодня.

Что такое защита с учетом угроз?

Защита с учетом угроз — это термин, придуманный корпорацией MITRE и относящийся к использованию информации о киберугрозах для понимания злоумышленников, а затем применения этих знаний к действиям по защите в программе безопасности.

С ростом числа киберугроз и противников, которые постоянно становятся все более изощренными, киберзащитники обнаруживают, что идти в ногу с последними угрозами и защищать свои организации от любых атак практически невозможно. Вместо этого эксперты призывают группы безопасности использовать другой подход, используя анализ угроз для определения типов атак, которые могут повлиять на их компании и корпоративную инфраструктуру. Такой подход позволяет группам безопасности не только сосредоточить усилия по защите на угрозах, с которыми они, скорее всего, столкнутся, но и периодически выполнять упражнения для выявления пробелов в процессах, процедурах и реализации инструментов безопасности.

Как внедрить защиту с учетом угроз?

Хотя защита с учетом угроз может показаться простой, она требует многогранного подхода и межфункционального сотрудничества сотрудников службы безопасности, а иногда даже различных ИТ-отделов. Основными компонентами реализации защиты с учетом угроз в организации являются следующие:

  • Примите структуру угроз.
  • Внедрите платформу анализа угроз и обмена информацией.
  • Постоянно выявляйте и оценивайте существующие и будущие риски.
  • Переход к фиолетовому командному мышлению.

Вместе эти действия приводят к менее реактивному и более упреждающему подходу к операциям по обеспечению безопасности, что, в свою очередь, приводит к эффективным и оптимальным оборонительным усилиям.

Принятие концепции угроз

Наиболее распространенная структура угроз, используемая сегодня, когда речь идет об операциях по обеспечению безопасности, — это структура ATT&CK, что означает тактика, методы и общие знания противника. Платформа с открытым исходным кодом, управляемая сообществом, используется для отслеживания действий злоумышленников, связанных с действиями, выполняемыми во время вторжений.

Hosting CityHost

В дополнение к отслеживанию общих методов и процедур, используемых для проведения атак, MITRE связывает известные группы угроз и любое программное обеспечение, которое они используют. Например, злоумышленники могут использовать общедоступные приложения для получения доступа к серверной системе. MITRE приписывает эту активность конкретным группам угроз и программному обеспечению, которое, как сообщается, использовало этот метод в прошлых атаках.

Внедрение платформы анализа и обмена информацией об угрозах

За последнее десятилетие аналитика угроз стала важнейшим источником данных для групп безопасности. Совсем недавно директор CISA (Агентство по кибербезопасности и безопасности инфраструктуры) призвал отрасль в целом сосредоточиться на обмене знаниями.

«Моя цель — изменить парадигму от простого государственно-частного партнерства к настоящему оперативному сотрудничеству; от обмена информацией к предоставлению информации. — Джен Истерли, директор CISA.

Платформы анализа угроз и обмена информацией являются ключевым компонентом такого сотрудничества, и корпоративные службы безопасности должны иметь надежный источник, который они постоянно используют для анализа угроз и обмена информацией. Хотя в Интернете доступно множество инструментов анализа угроз с открытым исходным кодом, многие организации вкладывают средства в платформы анализа угроз, чтобы предоставить обширную библиотеку информации.

Такие платформы, как Recorded Future и IntSights, не только предоставляют вам данные об угрозах, но и обеспечивают мониторинг Dark Web, уведомляя вашу организацию об обнаружении утечки учетных данных или упоминании вашего имени на популярных хакерских форумах. Подобная информация стала бесценным способом опередить злоумышленников, которые могут планировать атаку.

Постоянное выявление рисков и оценка угроз

После того, как ваша организация выберет и внедрит платформу анализа угроз и подход к обмену информацией, команда будет готова перейти к этапу выявления рисков и оценки угроз для защиты с учетом угроз. Понимание рисков, существующих в организации, необходимо для правильной оценки угроз.

Любая организация сталкивается с множеством рисков, поэтому эти опасности должны быть расставлены по приоритетам в порядке критичности. Другими словами, команда безопасности должна сотрудничать с заинтересованными сторонами бизнеса, чтобы понять риски, которые, если они будут реализованы, могут нарушить бизнес-операции. Например, атаки программ-вымогателей обычно находятся в верхней части этого списка, влияя на доступность систем, которые позволяют компании работать. Понимая это, группа безопасности может выявлять угрозы, которые могут повлиять на доступность критически важных для бизнеса систем и приложений, а затем совместно бороться с этими угрозами.

Команды безопасности также должны оценивать угрозы, влияющие на отрасль организации в целом. Многие группы угроз, как правило, нацелены на несколько компаний в схожих отраслях, таких как здравоохранение или финансовый сектор. Таким образом, постоянная оценка известных угроз в отрасли важна для понимания типов атак, с которыми может столкнуться организация.

В целом, управление рисками и угрозами представляет собой непрерывные циклы в постоянном цикле сбора и оценки информации, что приводит к постоянному совершенствованию средств защиты за счет дополнительных средств контроля и механизмов защиты.

Переход к мышлению фиолетовой команды

Последним и, возможно, самым важным элементом защиты с учетом угроз является переход к фиолетовому командному мышлению. Исторически защита безопасности состояла из операций синей и красной команд, где синяя команда выполняла функции защитников, а красная команда занималась тестированием на проникновение.

Синяя команда отвечает за активные действия по защите, такие как анализ и расследование событий, поиск угроз и реагирование на инциденты. Красные команды формируются для постоянной оценки механизмов защиты и реагирования на инциденты, выполняя те же действия, что и субъекты угроз. Цель красных команд — выявить пробелы в программе операций по обеспечению безопасности, чтобы синяя команда могла улучшить свои средства контроля, процессы и процедуры, чтобы закрыть эти пробелы.

Хотя мышление фиолетовой команды, очевидно, относится к смешанному подходу объединения синей и красной команд, как оно связано с успешной реализацией защиты с учетом угроз? Как упоминалось ранее, защита с информацией об угрозах заключается в том, чтобы стать активным в защите безопасности. Для этого синие и красные команды должны всесторонне обдумать угрозы, а не сосредоточиваться исключительно на своих соответствующих сферах ответственности.

Пурпурное командное мышление сводит две отдельные цели к одной: улучшению программы обеспечения безопасности. Это помогает сотрудникам службы безопасности работать в более тесном сотрудничестве, независимо от роли, для имитации злоумышленников от начала до конца.

Зачем внедрять защиту с учетом угроз?

Защита с учетом угроз дает много преимуществ. Хотя развитие возможностей внутри организации может показаться пугающим и требующим много времени, преимущества в конечном итоге перевешивают затраты после того, как программа станет зрелой.

Наиболее очевидным преимуществом внедрения защиты с учетом угроз является то, что она предоставляет обширную библиотеку угроз и, как следствие, глубокое понимание ландшафта угроз организации. Это помогает ответить на такие вопросы, как, каким атакам компания наиболее подвержена, кто, скорее всего, будет атакован, какими возможностями обладают эти злоумышленники, как они исторически осуществляли свои атаки, где находятся наиболее важные пробелы и что необходимо сделать, чтобы закрыть эти пробелы.

Кроме того, защита с информацией об угрозах приводит к оптимизации безопасности или повышению эффективности всей программы безопасности. С помощью различных действий, обсуждаемых в этой статье, команда безопасности обеспечивает тщательный мониторинг и постоянное совершенствование средств контроля безопасности и может определить дополнительные средства контроля, необходимые для устранения любых пробелов. Кроме того, непрерывный цикл выявления и оценки рисков и угроз приводит к повышению уровня безопасности и улучшению соответствия отраслевым нормам и стандартам, таким как NIST, CMMC, HIPAA и PCI-DSS.

Защита с учетом угроз стала проверенным способом совершенствования программ безопасности и предоставления организациям дорожной карты стратегии кибербезопасности для обеспечения непрерывной зрелости их программы. Это приносит пользу как команде безопасности, так и компании в целом, согласовывая инициативы в области безопасности с наиболее важными рисками и угрозами, от которых необходимо защищаться. Это приводит к принятию обоснованных решений и расходов на исполнительном уровне, а также к меньшему количеству потраченных впустую ресурсов из-за инвестирования в ненужные оборонные мероприятия.

Поскольку количество угроз кибербезопасности растет в геометрической прогрессии, организации должны внедрять защиту с учетом угроз для обеспечения эффективных и оптимизированных операций безопасности, а также для достижения баланса между защитой бизнеса и обеспечением его работы одновременно.

Hosting Fozzy

Оцените статью
Поделиться с друзьями
Валерий Матафонов

Автор блога WM-IT.pro. Занимаюсь разработкой и оптимизацией сайтов с 2010 года.

WM-IT.pro - Блог об информационных технологиях
Добавить комментарий