Zephyrnet Logo

Inteligência de dados generativa

Cíber segurança

Usando a visibilidade da rede Leste-Oeste para detectar ameaças em estágios posteriores do MITRE ATT&CK

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 82

A Agência de Segurança Cibernética e de Infraestrutura (CISA) chama o “monitoramento insuficiente da rede interna” de um dos 10 configurações incorretas de rede mais comuns este ano. De fato, análise e visibilidade de rede (NAV) continua a ser um desafio perene. À medida que as fronteiras em torno da rede tradicional desaparecem e o cenário de ameaças ativas se torna mais complexo, as empresas precisam de novos métodos e soluções para defender o seu desempenho, segurança e continuidade.

É aí que o MITER ATT & CK As táticas e técnicas adversárias que ela coleta nos ajudam a compreender e combater ameaças cibernéticas, como ransomware, bem como ameaças persistentes avançadas (APTs), cujo objetivo é infligir danos potencialmente devastadores a uma empresa. Ao procurar táticas e técnicas conhecidas de grupos APT conhecidos, equipes de segurança cibernética podem impedir ameaças antes que se transformem em ataques bem-sucedidos.

Depois que o ransomware é detectado, normalmente é tarde demais para evitar danos. Isto sublinha a necessidade de monitorização completa e contínua da rede, uma compreensão das estratégias preventivas e capacidades de visibilidade desinibidas para detectar anomalias que abrangem não apenas o tráfego “norte-sul” entre o data center e os clientes, mas também o tráfego “leste-oeste”. entre servidores também.

Entenda o cenário de ameaças e sua rede

Embora a visibilidade completa da rede seja o objetivo final, é mais fácil falar do que fazer. As organizações exigem visibilidade holística em todo o ecossistema de prestação de serviços. Monitorar a atividade da rede para rastrear e tendências de tráfego e utilização de aplicativos é essencial. Além disso, você deve ir além da visibilidade em toda a empresa para implementar uma estratégia ampla de desempenho e disponibilidade que englobe não apenas a sede, os escritórios remotos e os data centers privados, mas também os centros de colocation, os contact centers, as nuvens públicas e os ambientes SaaS.

Além disso, manter serviços digitais de alto desempenho em ambientes de nuvem híbrida cada vez mais distribuídos é crucial para organizações de TI empresariais. Com um ambiente mais distribuído, surgem novos desafios para fornecer aos clientes e à força de trabalho híbrida acesso seguro e disponibilidade de aplicativos e serviços de negócios. Em alguns casos, o gerenciamento do desempenho de qualidade após o crescimento do tráfego em links SD-WAN, circuitos cruciais de Internet, gateways VPN e nuvem híbrida passou de um desafio operacional para uma prioridade crítica para os negócios.

Por exemplo, muitas empresas transferiram hoje permanentemente milhares de funcionários para ambientes de trabalho em casa e de nuvem híbrida durante e após a pandemia. À medida que as empresas faziam a transição para força de trabalho híbrida e modelos de confiança zero, as equipes de NetOps perceberam que precisavam de ferramentas melhores para identificar se a largura de banda SD-WAN poderia lidar adequadamente com picos no tráfego de rede remota relacionados a milhares de usuários remotos. Ao mesmo tempo, as equipes de SecOps precisavam desse mesmo nível de visibilidade para detectar ameaças e confirmar se suas políticas de rede de confiança zero estavam funcionando conforme planejado.

Em última análise, ao compreender o cenário de ameaças da rede neste caso, o gerenciamento de TI pode compreender e identificar melhor onde residem as “joias da coroa”, como servidores, aplicativos e bancos de dados importantes. Dessa forma, quando ocorrem ameaças, o comportamento anômalo fica mais claro para as equipes de NetOps e SecOps.

Nos atuais ambientes de borda de serviço expandidos, visualizar a experiência do usuário final remoto no contexto de redes multicamadas e ambientes de fornecedores é essencial para isolar rapidamente os problemas e fornecer visibilidade em todos os estágios do MITRE ATT&CK.

Garanta que a visibilidade da rede seja interna e externa

As equipes de TI precisam visibilidade de ponta a ponta em toda a rede corporativa, desde SD-WAN e escritórios remotos, até ambientes híbridos/multicloud, até colos e data centers. Quando há falta de visibilidade, as equipes de SecOps não têm uma visão adequada de todas as etapas do MITRE ATT&CK.

Um ambiente moderno de confiança zero pressupõe que a rede já foi violada. Ou seja, as fases iniciais do MITRE ATT&CK – reconhecimento, desenvolvimento de recursos e acesso inicial – já aconteceram. A visibilidade da rede Norte-Sul por si só é agora inadequada para rastrear o movimento interno do invasor, que agora está progredindo através das fases posteriores do MITRE ATT&CK de execução, persistência, escalonamento de privilégios, evasão de defesa, acesso a credenciais, descoberta, movimento lateral e coleta.

Para detectar invasões nesses estágios, as equipes de SecOps precisam de visibilidade do tráfego leste-oeste. Com esse nível de visibilidade na comunicação servidor-servidor, as equipes de SecOps podem detectar comportamentos de tráfego anômalos em relação aos seus servidores-jóia da coroa. No caso de um ataque de ransomware, muitas das táticas e técnicas do MITRE ATT&CK precedem a própria exfiltração e criptografia dos dados.

Ataques desta natureza sublinham a necessidade de uma monitorização completa e contínua da rede, de uma compreensão das estratégias preventivas e de capacidades de visibilidade desinibidas, a fim de detectar anomalias que abrangem o tráfego que flui de todas as direcções. Ao usar soluções internas e externas, as equipes de TI, NetOps e SecOps podem implementar o melhor monitoramento de desempenho dos dois mundos.

Aproveitar dados derivados de ambas as formas de tráfego de pacotes de rede ajuda a resolver problemas difíceis de isolar em ambientes híbridos e remotos. A combinação de visibilidade da rede norte-sul e leste-oeste é necessária para as últimas fases do MITRE ATT&CK – comando e controle, exfiltração e impacto.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.