Noua generaţie: Centre de Operaţiuni Cyber Multistrat/ Multifuncţionale – o abordare...

Noua generaţie: Centre de Operaţiuni Cyber Multistrat/ Multifuncţionale – o abordare unică cu capabilităţi multiple

117
Virgilius Stănciulescu

Logo Ancom

 

Autor: Virgilius Stanciulescu
Director IT, ANCOM

În ultimii ani, breșele de securitate în diferite sectoare au dovedit necesitatea unei capacități mai bune de răspuns la incidente (IR) pentru a detecta, a restrânge și a remedia amenințările. Aceste breșe sunt dovezi că prevenirea nu mai este o abordare suficientă. Cu toate acestea, multe organizații nu au o capacitate IR matură și odată ce incidentul este remediat, organizațiile încă se întreabă cum să se asigure în mod eficient.

Prevenirea rămâne o componentă critică a unui program de securitate eficient și organizaţiile investesc din ce în ce mai mult în capacităţile de detectare și reacţie nativă, încercând să construiască Centrele de Operațiuni de Securitate (COS).

O nouă abordare este aceea că oamenii, procesele și tehnologiile care sunt coloana vertebrală a COS trebuie să fie integrate într-un singur centru multistrat Cyber (CMC) care combină funcţiile:

  • ► de operaţiuni de securitate
  • ► Threat Intelligence (CTI),
  • ► Teaming,
  • ► suprafeţei atacurilor (ASR)

Centrul multistratificat/multifuncțional Cyber

  • ► o abordare cuprinzătoare și integrată a securităţii.
  • ► CMC este de a proteja afacerea: bunurile sale, oamenii, clienţii și reputaţia.
  • ► asigură că toate eforturile de securitate sunt coordonate eficient, prin valorificarea beneficiilor proximităţii (fizice sau logice) și comunicării ușoare între echipele de securitate.
  • ► conceput pentru a integra funcţiile cheie de securitate într-o singură unitate.

Componentele, scurtă descriere

  1. Centrul de Operațiuni de Securitate (COS): inima CMC și prima linie a apărării unei organizaţii responsabile de detectarea, reacţia și remedierea ameninţărilor, precum și identificarea proactivă a activităţii rău intenţionate. În COS se află, de asemenea, cadrul pentru operaţiunile de apărare împotriva ameninţărilor, care este braţul înarmat cu arme cyber operaţionale și operative pentru operaţiunile de securitate și de intelligence, ajungând până la efectuarea unei analize detaliate a malware- ului și construirea și îmbunătăţirea continuă a metodelor de prevenire și detectare.
  2. Intelligence privitor la ameninţările cyber: primii „observatori” responsabili pentru identificarea ameninţărilor la adresa organizaţiei și pentru difuzarea rapoartelor la timp, relevante și acţionabile către COS, CxO și a altor părţi interesate.
  3. Echipa Roșie: „atacatorii” care simulează tacticile, tehnicile și procedu- rile (TTP) specifice ameninţărilor relevante pentru organizaţie. Echipa Roșie va efectua teste continue, determinând îmbunătăţiri în detecţie, răspuns și în înţelegerea cu privire la ameninţări ale analistului COS.
  4. Reducerea suprafeței de atac (RSA): grupul proactiv de apărare responsabil pentru identificarea și atenuarea/mitigarea vulnerabilităţilor, iden- tificarea bunurilor critice/ necritice și a serviciilor ne/esenţiale, pentru reducerea posibilităţilor de atac. Mai mult decat managementul patch-urilor, echipele RSA se concentrează pe îmbunăţătirea continuă a procedurilor organizaţiilor pentru a elimina vulnerabilităţile înainte ca sistemele să devină live.

Prin integrarea acestor funcții, CMC urmărește:

  • ► barierelor de comunicare;
  • ► cunoștinţelor despre ameninţări și a analizelor;
  • ► ă unifice strategia de securitate a organizaţiei;
  • ► ă maximizeze valoarea investiţiilor în securitatea informatică.

Abordarea CMC reprezintă o interacţiune complexă între echipele de securitate cu mai multe puncte de acţiune comună, fluxuri de lucru paralele și mecanisme de feedback constante, deși funcţiile de securitate care alcătuiesc CMC nu sunt noi. Având în vedere aspectele de proiectare și implementare potrivite, organizaţiile pot determina:

  • ►șterea eficacităţii operaţionale prin orchestrarea funcţiilor de securitate și a fluxului de informaţii de inteligence, prin operaţiuni de securitate și IT.
  • ►îmbunătăţirea pregătirii în materie de securitate, permiţând mecanisme mai puternice de detectare și conștientizarea ameninţărilor
  • ► maturării securităţii prin reducerea costurilor, asigurând coordonarea unor funcţii complexe de securitate în mai multe echipe.

CMC:

  • ► se distinge prin părţile sale individuale;
  • ► distinge prin integrarea și interdependenţele în toate funcţiile sale;
  • ► mai mult decât o abordare de securitate;
  • ► este o abordare de securitate pe care organizaţiile o pot implementa pentru a se securiza mai bine, pentru a-și proteja clienţii și pentru a reduce pierderile.

Componentele, în detaliu

1 Un COS robust va recunoaște amenințările și va reacționa la acestea.

Organizaţiile recunosc rapid necesitatea de a detecta și de a răspunde la o varietate de ameninţări; blocarea ameninţărilor nu este suficientă. Centrul de Operaţiuni de Securitate (COS) este prima linie de apărare a organizaţiei împotriva tuturor formelor de ameninţări și este inima CMC. COS se va ocupa de orice activitate suspectă de malware și va lucra îndeaproape cu celelalte echipe din CMC. Un COS bine conceput și menţinut se va concentra pe obţinerea eficienţei prin instruirea continuă a analistului și mentorat și prin evaluarea constantă a tehnologiilor de securitate ale organizaţiei.

1.1 Arhitectură multistrat

COS poate fi proiectat în jurul unui model simplu de detectare, identificare și atenuare a modelului.

  • ► Analiștii de nivel 1 sunt însărcinaţi să clasifice gravitatea evenimentului și să coreleze evenimentul cu orice istoric.
  • ► Dacă este necesar, analiștii de rangul 1 vor escalada incidentele la analiștii de nivel 2 și 3, care vor efectua investigaţii în profunzime și vor efectua analize pentru a determina ce s-a întâmplat.

1.2 Operațiuni de aparare împotriva amenințărilor

  • ► analiștii specializaţi sunt responsabili pentru crearea logicii de detectare sub formă de semnături, reguli și interogări personalizate, bazate pe informaţii despre ameninţări. Inginerii implementează logica de detectare la o serie de dispozitive, aparate, instrumente și senzori care alcătuiesc stiva de securitate a unei organizaţii. Regulile, semnăturile și interogările creează o reţea de senzori preventivi bazate pe ameninţări, care generează alerte de reţea/hosts la care analiștii de la Tier 1-3 din COS răspund.
  • ► Analiștii își vor regla apoi logica de detectare pe baza feedback-ului COS, creând un CMC eficient care nu va pierde timpul investigând alarmele false.
  • ► Echipa este, de asemenea, responsabilă pentru furnizarea de analize de malware în profunzime, care oferă informaţii tehnice valoroase (TECHINT) care pot fi folosite în logica de detectare.

1.3 Managementul alertelor

Acest proces – de construire a soluţiilor de detectare și identificare, atenuare a ameninţărilor – este problema cu care multe organizaţii se confruntă. Principalul punct de reţinut este că mai multe tehnologii, unelte și feed-uri despre ameninţare nu aduc în mod obligatoriu și direct eficienţă. Fluxurile de lucru corecte sunt mai probabile a asigura reușita decât cele care prioritizează tehnologia. Organizaţiile ar trebui să se concentreze doar asupra tehnologiei care permite investigatorilor COS să petreacă mai puţin timp pentru colectarea datelor și mai mult timp pentru a investiga cauza principală a activităţii de care au fost alertaţi.

1.4 Operațiuni 24/7 și managementul investigațiilor

Proiectarea și punerea în aplicare ar trebui să se concentreze asupra standardizării operaţiunilor zilnice, a managementului cazurilor și a metodelor de „măsurare a succesului”. Ameninţările moderne necesită ca COS- urile să funcţioneze 24 de ore pe zi, 365 de zile pe an, necesitând programe de adaptare și roluri bine definite. Un sistem de gestionare a cazurilor bine integrat, care ajută în timpul investigaţiilor și care interacţionează fără probleme cu alte instrumente COS, este esenţial. Acest instrument oferă în mod ideal metrici cu privire la modul în care COS monitorizează, detectează și înregistrează cazuri în mod eficient și permite unei organizaţii să identifice vulnerabilităţi în oameni, procese și tehnologii.

1.5 Standardizarea operațiilor

Implementarea cu succes necesită, de asemenea, o documentaţie precisă și actualizată. Acest lucru include documentaţia privind arhitectura reţelei, procedurile de operare standardizate (POS) și listele de puncte de contact. În cazul în care COS este considerat „inima” CMC, atunci POS acţionează ca „ritm”, îndrumând analiștii în situaţii variind de la colectarea dovezilor la stoparea exfiltraţiei datelor.

2 Integrarea funcțiilor de Intelligence

Informaţiile despre ameninţări pot fi extrem de puternice: pot fi privite drept multiplicator de forţă pentru CMC, contribuind la îmbunătăţirea gradului de conștientizare și înţelegere a ameninţărilor și oferirea mijloacelor prin care aceste ameninţări ar putea fi prevenite sau detectate.

Funcţiile de intelligence corect implementate vor avea următoarele caracteristici:

2.1 Intelligence în timp util

Primirea informaţiilor înainte de realizarea ameninţării este crucială pentru organizaţie. Diseminarea informaţiilor strategice și tactice, inclusiv a indicatorilor de compromis, poate lua forma unor indicaţii și avertizări (avertizare asupra unei ameninţări iminente), rapoarte zilnice sau săptămânale (evidenţiază ameninţările relevante, pro- blemele specifice cibernetice pentru părţile interesate).

2.2 Intelligence relevant

Informaţia relevantă privind ameninţările produce informaţii valoroase privind nu numai problemele care apar în mediul de afaceri global, ci și aspecte specifice din cadrul industriei și legate de un mediu informatic specific.

2.3 Intelligence acționabil

Creat și util atunci când analiștii filtrează prin volum mare de date și informaţii, analizează motivele pentru care anumite informaţii specifice sunt relevante pentru organizaţie. Relevă și modul în care aceste informaţii pot fi utilizate de diferite părţi interesate. Echipele au nevoie de informaţii tactice și tehnice pentru a susţine investigaţiile actuale, pentru a crea logica de detectare și a se pregăti pentru atacuri potenţiale. Inteligenţa tehnică va fi, de asemenea, utilizată pentru a determina dacă anumite acţiuni maliţioase sunt deja prezente în reţea.

2.4 Intelligence strategic și tactic

Deși echipa COS este prima linie de apărare a organizaţiei, ea poate funcţiona mai eficient și mai eficient, cu sprijinul CTI. Echipa de securitate va gestiona o gamă largă de ameninţări potenţiale și va trebui să fie în măsură să trieze rapid evenimente, să determine nivelul de ameninţare și să atenueze incidentele. CTI poate ajuta analiștii COS să acorde prioritate acestor alerte, pot ajuta la investigaţii și pot ajuta analiștii COS să atribuie activitati maliţioase anumitor atacatori.

3 Echipa „roșie”.

O întrebare fundamentală pentru fiecare business este: Organizaţia va fi „testare” a CMC este atacarea activă a acestuia. Prin exerciţiile coordonate ale Red Team, personalul CMC poate învăţa să detecteze și să răspundă la o varietate de ameninţări.

3.1 Simularea de amenințări

Operaţiunile vor fi concepute în mod ideal pentru a simula tacticile, tehnicile și procedurile de ameninţări pe care echipa CTI le-a evaluat a fi un risc.

Este responsabilitatea echipei Roșii de a testa aceste elemente și limitele COS și CMC. De exemplu, dacă se știe că COS întâlnește rareori shell-uri web – un tip de malware instalat pe servere web – Echipa Roșie poate alege să atace direct un server web.

Un aspect important al operaţiunii Echipa Roșie este că numai liderii selectaţi știu de operaţiuni (adesea denumite „echipa albă”), adăugând realismul evenimentului. Această abordare le permite celor care sunt conștienţi să observe evenimentul în curs de desfășurare, în special modul în care echipele interacţionează între ele, modul în care sunt transmise informaţiile, modul în care sunt implicaţi părţile interesate și modul în care echipele gestionează o varietate de scenarii de atac. Acești lideri pot contribui, de asemenea, la activităţile echipei roșii pentru a se asigura că nici un fel de date sau operaţiuni critice nu sunt compromise sau expuse.

Prin urmare, implementarea operaţiunilor Echipei Roșii ar trebui să sublinieze interdependenţa dintre misiunea COS și aceasta. Echipa Roșie trebuie să asiste COS în timpul eforturilor de remediere pentru a se asigura că orice vulnerabilităţi descoperite nu mai sunt susceptibile de exploatare.

4Reducerea suprafeței de atac.

Scopul reducerii suprafeţei de atac (RSA) este de a închide toate porţile de intrare nenecesare în infrastructura tehnică și de a limita accesul la aceste porţi prin monitorizare, evaluarea / diminuarea vulnerabilităţii și controlul accesului.

4.1 Înțelegerea și asumarea suprafeței de atac

Implementarea RSA vizează identificarea și înţelegerea celor mai importante aplicaţii și servicii, inclusiv a funcţiilor acestora, care susţin infrastructura, domeniul de aplicare și vulnerabilităţile inerente.

Echipa RSA ar trebui să acorde prioritate fiecărui activ, având în vedere valoarea critică a acestuia pentru operaţiuni și capacitatea celor mai relevanţi actori de a angrena aceste active într-o intruziune, de exemplu. În plus, impactul acestor atacuri trebuie luat în considerare.

4.2 Mai mult decât managementul actualizărilor

Gestionarea patch-urilor pentru vulnerabilităţi este o funcţie principală RSA, dar realizarea unei organizaţii fără vulnerabilităţi nu este un obiectiv realist, este de dorit, dar greu de realizat dintr-o dată. Vulnerabilităţile trebuie să fie identificate și gestionate în mod corespunzător, punând accentul pe prevenirea și reacţia rapidă la cele mai critice. Îmbunătăţirea continuă a procedurilor, în special pentru serviciile care ar putea permite atacatorilor accesul la zonele confidenţiale, reprezintă un proces critic pentru RSA, impunând măsuri preventive și calendarului efectiv de atenuare.

4.3 O funcție tehnică ce necesită abilități și experiența personalului

Menţinerea gradului de cunoaștere a activelor este din ce în ce mai dificilă în mediul de afaceri dinamic din prezent. Organizaţiile implementează baze de date de gestionare a configuraţiei (CMDB) pentru a urmări și a asigura că suprafaţa de atac nu s-a extins dincolo de nivelul acceptabil al riscului organizaţiei. Iar noi expuneri apar adesea pe parcurs, pe măsură ce se introduc sau se actualizează noi sisteme informatice.

Profesioniștii în domeniul RSA care posedă o înţelegere profundă a ingineriei de reţea, a conceptelor IT și a securităţii, pot sintetiza fragmente diferite de informaţii care pot indica un vector de atac nedetectat sau important din punct de vedere contextual.

Concluzii

„Vom fi următorii?” sau chiar „Am fost deja atacaţi?” sunt întrebările pe care toate companiile ar trebui să le aibă în vedere. Prin dezvoltarea unui centru Cyber Multilstrat/multifuncţional, organizaţiile pot dezvolta viteza, colaborarea, coordonarea, asigurând și fluxurile de informaţii și conștientizarea conducerii executive, fluxuri necesare nu doar pentru a supravieţui, ci și pentru a performa.

Bibliografie:


  1. Security Round Table, disponibil: aici.
  2. Designing a Cyber Fusion Center: A unified approach with diverse capabilities, Navigating the Digital Age, Booz Allen Hamilton – Bill Stewart, Sedar LaBarre, Matt Doan, Denis Cosgrove