CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT Noua generaţie: Centre de Operaţiuni Cyber Multistrat/Multifuncţionale - o abordare unică cu capabilităţi multiple

În ultimii ani, breşele de securitate în diferite sectoare au dovedit necesitatea unei capacităţi mai bune de răs-puns la incidente (IR) pentru a detecta, a restrânge şi a remedia ameninţările. Aceste breşe sunt dovezi că prevenirea nu mai este o abordare suficientă. Cu toate acestea, multe organizaţii nu au o capacitate IR matură şi, odată ce incidentul este remediat, organizaţiile încă se întreabă cum să se asigure în mod eficient.

Prevenirea rămâne o componentă critică a unui program de securitate eficient şi organizaţiile investesc din ce în ce mai mult în capacităţile de detectare şi reacţie nativă, încercând să construiască Centrele de Operaţiuni de Securitate (COS).

O nouă abordare este aceea că oamenii, procesele şi tehnologiile care sunt coloana vertebrală a COS trebuie să fie integrate într-un singur centru multistrat Cyber (CMC) care combină funcţiile:

- de operaţiuni de securitate,

-Threat Intelligence (CTI),

- Teaming,

- suprafeţei atacurilor (ASR).

Centrul multistratificat/multifuncţional Cyber

- o abordare cuprinzătoare şi integrată a securităţii.

- CMC este de a proteja afacerea: bunurile sale, oamenii, clienţii şi reputaţia.

- asigură că toate eforturile de securitate sunt coordonate eficient, prin valorificarea beneficiilor proximităţii (fizice sau logice) şi comunicării uşoare între echipele de securitate.

- conceput pentru a integra funcţiile cheie de securitate într-o singură unitate.

• Componentele, scurtă descriere

1. Centrul de Operaţiuni de Securitate (COS): inima CMC şi prima linie a apărării unei organizaţii responsabile de detectarea, reacţia şi remedierea ameninţărilor, precum şi identificarea proactivă a activităţii rău intenţionate. În COS se află, de asemenea, cadrul pentru operaţiunile de apărare împotriva ameninţărilor, care este braţul înarmat cu arme cyber operaţionale şi operative pentru operaţiunile de securitate şi de intelligence, ajungând până la efectuarea unei analize detaliate a malware-ului şi construirea şi îmbunătăţirea continuă a metodelor de prevenire şi detectare.

2. Intelligence privitor la ameninţările cyber: primii "observatori" responsabili pentru identificarea ameninţărilor la adresa organizaţiei şi pentru difuzarea rapoartelor la timp, relevante şi acţionabile către COS, CxO şi a altor părţi interesate.

3. Echipa Roşie: "atacatorii" care simulează tacticile, tehnicile şi procedurile (TTP) specifice ameninţărilor relevante pentru organizaţie. Echipa Roşie va efectua teste continue, determinând îmbunătăţiri în detecţie, răspuns şi în înţelegerea cu privire la ameninţări ale analistului COS.

4. Reducerea suprafeţei de atac (RSA): grupul proactiv de apărare res-ponsabil pentru identificarea şi atenuarea/mitigarea vulnerabilităţilor, identificarea bunurilor critice/ necritice şi a serviciilor ne/esenţiale, pentru reducerea posibilităţilor de atac. Mai mult decat managementul patch-urilor, echipele RSA se concentrează pe îmbunăţătirea continuă a procedurilor organizaţiilor pentru a elimina vulnerabilităţile înainte ca sistemele să devină live.

Prin integrarea acestor funcţii, CMC urmăreşte:

- barierele de comunicare;

- cunoştinţele despre ameninţări şi ale analizelor;

- să unifice strategia de securitate a organizaţiei;

- să maximizeze valoarea investiţiilor în securitatea informatică.

Abordarea CMC reprezintă o interacţiune complexă între echipele de securitate cu mai multe puncte de acţiune comună, fluxuri de lucru paralele şi mecanisme de feedback constante, deşi funcţiile de securitate care alcătuiesc CMC nu sunt noi. Având în vedere aspectele de proiectare şi implementare potrivite, organizaţiile pot determina:

- creşterea eficacităţii operaţionale prin orchestrarea funcţiilor de securitate şi a fluxului de informaţii de inteligence, prin operaţiuni de securitate şi IT;

- îmbunătăţirea pregătirii în materie de securitate, permiţând mecanisme mai puternice de detectare şi conştientizarea ameninţărilor;

- maturizarea securităţii prin reducerea costurilor, asigurând coordonarea unor funcţii complexe de securitate în mai multe echipe.

CMC:

- se distinge prin părţile sale individuale;

- se distinge prin integrarea şi interdependenţele în toate funcţiile sale;

- este mai mult decât o abordare de securitate;

- este o abordare de securitate pe care organizaţiile o pot implementa pentru a se securiza mai bine, pentru a-şi proteja clienţii şi pentru a reduce pierderile.

• Componentele, în detaliu

1. Un COS robust va recunoaşte ameninţările şi va reacţiona la acestea.

Organizaţiile recunosc rapid necesitatea de a detecta şi de a răspunde la o varietate de ameninţări; blocarea ameninţărilor nu este suficientă. Centrul de Operaţiuni de Securitate (COS) este prima linie de apărare a organizaţiei împotriva tuturor formelor de ameninţări şi este inima CMC. COS se va ocupa de orice activitate suspectă de malware şi va lucra îndeaproape cu celelalte echipe din CMC. Un COS bine conceput şi menţinut se va concentra pe obţinerea eficienţei prin instruirea continuă a analistului şi mentorat şi prin evaluarea constantă a tehnologiilor de securitate ale organizaţiei.

1.1 Arhitectură multistrat

COS poate fi proiectat în jurul unui model simplu de detectare, identificare şi atenuare a modelului.

- Analiştii de nivel 1 sunt însărcinaţi să clasifice gravitatea evenimentului şi să coreleze evenimentul cu orice istoric.

- Dacă este necesar, analiştii de rangul 1 vor escalada incidentele la analiştii de nivel 2 şi 3, care vor efectua investigaţii în profunzime şi vor efectua analize pentru a determina ce s-a întâmplat.

1.2 Operaţiuni de apărare împotriva ameninţărilor

- analiştii specializaţi sunt res-ponsabili pentru crearea logicii de detectare sub formă de semnături, reguli şi interogări personalizate, bazate pe informaţii despre ameninţări. Inginerii implementează logica de detectare la o serie de dispozitive, aparate, instrumente şi senzori care alcătuiesc stiva de securitate a unei organizaţii. Regulile, semnăturile şi interogările creează o reţea de senzori preventivi bazate pe ameninţări, care generează alerte de reţea/hosts la care analiştii de la Tier 1-3 din COS răspund.

- Analiştii îşi vor regla apoi logica de detectare pe baza feedback-ului COS, creând un CMC eficient care nu va pierde timpul inves-tigând alarmele false.

- Echipa este, de asemenea, responsabilă pentru furnizarea de analize de malware în profunzime, care oferă informaţii tehnice valoroase (TECHINT) ce pot fi folosite în logica de detectare.

1.3 Managementul alertelor

Acest proces - de construire a soluţiilor de detectare şi identificare, atenuare a ameninţărilor - este problema cu care multe organizaţii se confruntă. Principalul punct de reţinut este că mai multe tehnologii, unelte şi feed-uri despre ameninţare nu aduc în mod obligatoriu şi direct eficienţă. Fluxurile de lucru corecte sunt mai probabile a asigura reuşita decât cele care prioritizează tehnologia. Organizaţiile ar trebui să se concentreze doar asupra tehnologiei care permite investigatorilor COS să petreacă mai puţin timp pentru colectarea datelor şi mai mult timp pentru a investiga cauza principală a activităţii de care au fost alertaţi.

1.4 Operaţiuni 24/7 şi managementul investigaţiilor

Proiectarea şi punerea în aplicare ar trebui să se concentreze asupra standardizării operaţiunilor zilnice, a managementului cazurilor şi a metodelor de "măsurare a succesului". Ameninţările moderne necesită ca COS-urile să funcţioneze 24 de ore pe zi, 365 de zile pe an, necesitând programe de adaptare şi roluri bine definite. Un sis-tem de gestionare a cazurilor bine integrate, care ajută în timpul investigaţiilor şi care interacţionează fără probleme cu alte instrumente COS, este esenţial. Acest instrument oferă în mod ideal metrici cu privire la modul în care COS monitorizează, detectează şi înregistrează cazuri în mod eficient şi permite unei organizaţii să identifice vulnerabilităţi în oameni, procese şi tehnologii.

1.5 Standardizarea operaţiilor

Implementarea cu succes necesită, de asemenea, o documentaţie precisă şi actualizată. Acest lucru include documentaţia privind arhitectura reţelei, procedurile de operare standardizate (POS) şi listele de puncte de contact. În cazul în care COS este considerat "inima" CMC, atunci POS acţionea-ză ca "ritm", îndrumând analiştii în situaţii variind de la colectarea dovezilor la stoparea exfiltraţiei datelor.

2. Integrarea funcţiilor de Intelligence

Informaţiile despre ameninţări pot fi extrem de puternice: pot fi privite drept multiplicator de forţă pentru CMC, contribuind la îmbunătăţirea gradului de conştientizare şi înţelegere a ameninţărilor şi oferirea mijloacelor prin care aceste ameninţări ar putea fi prevenite sau detectate.

Funcţiile de intelligence corect implementate vor avea următoarele caracteristici:

2.1 Intelligence în timp util

Primirea informaţiilor înainte de realizarea ameninţării este crucială pentru organizaţie. Diseminarea informaţiilor strategice şi tactice, inclusiv a indicatorilor de compromis, poa-te lua forma unor indicaţii şi avertizări (avertizare asupra unei ameninţări iminente), rapoarte zilnice sau săptămânale (evidenţiază ameninţările relevante, problemele specifice cibernetice pentru părţile interesate).

2.2 Intelligence relevant

Informaţia relevantă privind ameninţările produce informaţii valoroase privind nu numai problemele care apar în mediul de afaceri global, ci şi aspecte specifice din cadrul indus-triei şi legate de un mediu informatic specific.

2.3 Intelligence acţionabil

Creat şi util atunci când analiştii filtrează prin volum mare de date şi informaţii, analizează motivele pentru care anumite informaţii specifice sunt relevante pentru organizaţie. Relevă şi modul în care aceste informaţii pot fi utilizate de diferite părţi interesate. Echipele au nevoie de informaţii tactice şi tehnice pentru a susţine investigaţiile actuale, pentru a crea logica de detectare şi a se pregăti pentru atacuri potenţiale. Inteligenţa tehnică va fi, de asemenea, utilizată pentru a determina dacă anumite acţiuni maliţioase sunt deja prezente în reţea.

2.4 Intelligence strategic şi tactic

Deşi echipa COS este prima linie de apărare a organizaţiei, ea poate funcţiona mai eficace şi mai eficient, cu sprijinul CTI. Echipa de securitate va gestiona o gamă largă de ameninţări potenţiale şi va trebui să fie în măsură să trieze rapid evenimente, să determine nivelul de ameninţare şi să atenueze incidentele. CTI poate ajuta analiştii COS să acorde prioritate aces-tor alerte, pot ajuta la investigaţii şi pot ajuta analiştii COS să atribuie activităţi maliţioase anumitor atacatori.

3. Echipa "roşie"

O întrebare fundamentală pentru fiecare business ar fi: «Este organizaţia dumneavoastră pregătită pentru un atac? » Prin exerciţiile coordonate ale Red Team, personalul CMC poate învăţa să detecteze şi să răspundă la o varietate de ameninţări.

3.1 Simularea de ameninţări

Operaţiunile vor fi concepute în mod ideal pentru a simula tacticile, tehnicile şi procedurile de ameninţări pe care echipa CTI le-a evaluat a fi un risc.

Este responsabilitatea echipei Roşii de a testa aceste elemente şi limitele COS şi CMC. De exemplu, dacă se ştie că COS întâlneşte rareori shell-uri web - un tip de malware instalat pe servere web. Echipa Roşie poate alege să atace direct un server web.

Un aspect important al operaţiunii Echipa Roşie este că numai liderii selectaţi ştiu de operaţiuni (adesea denumite "echipa albă"), adăugând realismul evenimentului. Această abordare le permite celor care sunt conştienţi să observe evenimentul în curs de desfăşurare, în special modul în care echipele interacţionează între ele, modul în care sunt transmise informaţiile, modul în care sunt implicate părţile interesate şi modul în care echipele gestionează o varietate de scenarii de atac. Aceşti lideri pot contribui, de asemenea, la activităţile echipei roşii pentru a se asigura că nici un fel de date sau operaţiuni critice nu sunt compromise sau expuse.

Prin urmare, implementarea operaţiunilor Echipei Roşii ar trebui să sub-linieze interdependenţa dintre misiunea COS şi aceasta. Echipa Roşie trebuie să asiste COS în timpul eforturilor de remediere pentru a se asigura că orice vulnerabilităţi descoperite nu mai sunt susceptibile de exploatare.

4. Reducerea suprafeţei de atac.

Scopul reducerii suprafeţei de atac (RSA) este de a închide toate porţile de intrare nenecesare în infrastructura tehnică şi de a limita accesul la aceste porţi prin monitorizare, evaluarea / diminuarea vulnerabilităţii şi controlul accesului.

4.1 Înţelegerea şi asumarea suprafeţei de atac

Implementarea RSA vizează identificarea şi înţelegerea celor mai importante aplicaţii şi servicii, inclusiv a funcţiilor acestora, care susţin infrastructura, domeniul de aplicare şi vulnerabilităţile inerente.

Echipa RSA ar trebui să acorde prioritate fiecărui activ, având în vedere valoarea critică a acestuia pentru operaţiuni şi capacitatea celor mai relevanţi actori de a angrena aceste active într-o intruziune, de exemplu. În plus, impactul acestor atacuri trebuie luat în considerare.

4.2 Mai mult decât managementul actualizărilor

Gestionarea patch-urilor pentru vulnerabilităţi este o funcţie principală RSA, dar realizarea unei organizaţii fără vulnerabilităţi nu este un obiectiv realist, este de dorit, dar greu de realizat dintr-o dată. Vulnerabilităţile trebuie să fie identificate şi gestionate în mod corespunzător, punând accentul pe prevenirea şi reacţia rapidă la cele mai critice. Îmbunătăţirea continuă a procedurilor, în special pentru serviciile care ar putea permite atacatorilor accesul la zonele confidenţiale, reprezintă un proces critic pentru RSA, impunând măsuri preventive şi calendarului efectiv de atenuare.

4.3 O funcţie tehnică ce necesită abilităţile şi experienţa personalului

Menţinerea gradului de cunoaştere a activelor este din ce în ce mai dificilă în mediul de afaceri dinamic din prezent. Organizaţiile implementează baze de date de gestionare a configuraţiei (CMDB) pentru a urmări şi a asigura că suprafaţa de atac nu s-a extins dincolo de nivelul acceptabil al riscului organizaţiei. Iar noi expuneri apar adesea pe parcurs, pe măsură ce se introduc sau se actualizează noi sisteme informatice.

Profesioniştii în domeniul RSA care posedă o înţelegere profundă a ingineriei de reţea, a conceptelor IT şi a securităţii, pot sintetiza fragmente diferite de informaţii care pot indica un vector de atac nedetectat sau important din punct de vedere contextual.

• Concluzii

"Vom fi următorii?" sau chiar "Am fost deja atacaţi?" sunt întrebările pe care toate companiile ar trebui să le aibă în vedere. Prin dezvoltarea unui centru Cyber Multilstrat/multifuncţional, organizaţiile pot dezvolta viteza, colaborarea, coordonarea, asigurând şi fluxurile de informaţii şi conştientizarea conducerii executive, fluxuri necesare nu doar pentru a supravieţui, ci şi pentru a performa.