Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Använda öst–västnätverkssynlighet för att upptäcka hot i senare skeden av MITER ATT&CK

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 82

Cybersecurity and Infrastructure Security Agency (CISA) kallar "otillräcklig intern nätverksövervakning" en av 10 vanligaste nätverksfelkonfigurationer det här året. Verkligen, nätverksanalys och synlighet (NAV) förblir en ständig utmaning. När gränserna kring det traditionella nätverket försvinner och det aktiva hotlandskapet blir mer komplext, behöver företag nya metoder och lösningar för att försvara sin prestanda, säkerhet och kontinuitet.

Det är där MITER ATT & CK ramverket kommer in. Motståndarens taktik och tekniker som den samlar in hjälper oss att förstå och bekämpa cyberhot som ransomware, såväl som avancerade ihållande hot (APTs) vars mål är att tillfoga ett företag potentiellt förödande skada. Genom att leta efter känd taktik och teknik för kända APT-grupper, cybersäkerhetsteam kan motverka hot innan de förvandlas till framgångsrika attacker.

När ransomware upptäcks är det vanligtvis alldeles för sent för att förhindra skada. Detta understryker behovet av fullständig och kontinuerlig övervakning av nätverket, en förståelse för förebyggande strategier och ohämmad synbarhet för att upptäcka anomalier som inte bara omfattar "nord–sydlig" trafik mellan datacentret och klienter, utan "öst–väst" trafik mellan servrar också.

Förstå hotbilden och ditt nätverk

Även om fullständig nätverkssynlighet är slutmålet, är det lättare sagt än gjort. Organisationer kräver holistisk synlighet över hela ekosystemet för tjänsteleverans. Det är viktigt att övervaka nätverksaktivitet för att spåra och trenda trafik och användning av applikationer. Dessutom måste du gå längre än företagsövergripande synlighet för att implementera en brett baserad prestanda- och tillgänglighetsstrategi som omfattar inte bara huvudkontoret, fjärrkontoren och privata datacenter, utan också samlokaliseringscenter, kontaktcenter, offentliga moln och SaaS-miljöer.

Att upprätthålla högpresterande digitala tjänster över allt mer distribuerade hybridmolnmiljöer är dessutom avgörande för företags IT-organisationer. Med en mer distribuerad miljö kommer nya utmaningar när det gäller att förse kunder och den hybrida arbetskraften med säker, säker tillgång till och tillgänglighet av affärsapplikationer och tjänster. I vissa fall har hanteringen av kvalitetsprestanda i spåren av trafiktillväxt över SD-WAN-länkar, viktiga internetkretsar, VPN-gateways och hybridmoln flyttats från en operativ utmaning till en affärskritisk prioritet.

Till exempel har många företag idag permanent flyttat tusentals anställda till att arbeta hemifrån och hybridmolnmiljöer under och efter pandemin. När företagen gick över till hybrid arbetskraft och nollförtroendemodeller, insåg NetOps-team att de behövde bättre verktyg för att identifiera om SD-WAN-bandbredden på ett adekvat sätt kunde hantera toppar i fjärrnätverkstrafik relaterad till tusentals fjärranvändare. Samtidigt behövde SecOps-team samma nivå av synlighet för att upptäcka hot och bekräfta att deras noll-förtroende-nätverkspolicyer fungerade enligt planerna.

I slutändan, genom att förstå nätverkets hotbild i det här fallet, kan IT-ledningen bättre förstå och identifiera var "kronjuveler" som nyckelservrar, applikationer och databaser finns. På så sätt, när hot uppstår, är avvikande beteende tydligare för NetOps- och SecOps-team.

I dagens utökade tjänstekantsmiljöer är det viktigt att visualisera slutanvändarupplevelsen på distans i samband med multitier-nätverk och leverantörsmiljöer för att snabbt isolera problem och ge synlighet över alla stadier av MITER ATT&CK.

Se till att nätverkssynlighet är både intern och extern

IT-team behöver synlighet från slut till ände genom hela deras företagsnätverk, från SD-WAN och fjärrkontor, till hybrid-/multimolnmiljöer, till co-los och datacenter. När det saknas synlighet har SecOps-teamen inte tillräcklig insikt i alla stadier av MITER ATT&CK.

En modern nollförtroendemiljö förutsätter att nätverket redan har brutits. Det vill säga, de inledande faserna av MITER ATT&CK – spaning, resursutveckling och initial åtkomst – har redan inträffat. Enbart nord-syd-nätverkets synlighet är nu otillräcklig för att spåra angriparens interna rörelser, som nu går igenom senare MITER ATT&CK-faser av avrättning, uthållighet, privilegieupptrappning, försvarsflykt, åtkomst till autentiseringsuppgifter, upptäckt, sidoförflyttning och insamling.

För att fånga intrång i dessa skeden behöver SecOps-team synlighet i öst-västlig trafik. Med denna nivå av synlighet i server-server-kommunikation kan SecOps-team upptäcka avvikande trafikbeteenden angående deras kronjuvelservrar. I händelse av en ransomware-attack föregår många av MITER ATT&CK-taktikerna och teknikerna själva exfiltreringen och kryptering av data.

Attacker av denna karaktär understryker behovet av fullständig, kontinuerlig övervakning av nätverket, förståelse för förebyggande strategier och ohämmad synbarhet för att upptäcka anomalier som omfattar trafik som flödar från alla håll. Genom att använda både internt och externt vända lösningar kan IT-, NetOps- och SecOps-team implementera det bästa av båda världarnas prestandaövervakning.

Att utnyttja data som härrör från båda formerna av nätverkspakettrafik hjälper till att lösa svårisolerade problem i hybrid- och fjärrmiljöer. Kombinationen av nord-sydlig och öst-västlig synlighet i nätverket krävs för de sista faserna av MITER ATT&CK - ledning och kontroll, exfiltration och påverkan.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.