Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Phản hồi tự động là một cuộc thi Marathon, không phải là một cuộc chạy nước rút

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 139

Một trong những hằng số mà các chuyên gia bảo mật phải đối phó là số lượng cảnh báo lớn. Ngay cả khi đã lọc sạch tiếng ồn và đến các sự kiện quan trọng, con số đó vẫn thường lớn hơn nhiều so với những gì mà đội bảo vệ có thể giải quyết trong một ca làm việc bình thường. Ngân sách hiếm khi có sẵn để có được số lượng nhân sự cần thiết của các chuyên gia lành nghề, hoặc thậm chí là sự kết hợp giữa các chuyên gia có kỹ năng và khả năng giảng dạy, vì vậy các nhà lãnh đạo an ninh đang phát triển các kế hoạch ứng phó của họ để bao gồm tự động hóa ở những nơi có thể giúp họ giải quyết số lượng sự kiện tuyệt đối.

Chúng ta hãy xem xét kỹ hơn các giai đoạn khác nhau của tự động hóa phản ứng và những gì nhóm bảo mật nên xem xét trong suốt quá trình này. Để minh họa những khái niệm này, hãy xem xét các tình huống và phản ứng sau đây.

Tình huống 1: Mối đe dọa từ nội gián tiềm tàng
Thông tin đăng nhập quản trị viên CNTT của một công ty dịch vụ tài chính đang được sử dụng để truy cập và sửa đổi các hệ thống chưa được sử dụng trước đây. Đây có thể là một cảnh báo sớm cho một mối đe dọa nội gián tiềm ẩn - hoặc nó có thể không là gì cả. Hoạt động bất thường kích hoạt một playbook gửi thông báo đẩy tới quản trị viên CNTT và người giám sát của họ trên thiết bị di động của họ. Họ được lựa chọn tắt thông tin đăng nhập của người dùng trên Active Directory hoặc điều tra thêm bằng cách mở một thẻ trong ServiceNow.

Tình huống 2: Sự bất thường về quyền truy cập đặc quyền
Các thông tin xác thực đặc quyền của một giám đốc điều hành cấp cao đang được sử dụng để thao túng thông tin công ty từ một vị trí địa lý bất thường. Sự cố kích hoạt một playbook chứa mối đe dọa tiềm ẩn và thông báo cho đội bảo mật. Các đặc quyền của thông tin đăng nhập bị hạn chế, một thông báo đẩy được gửi đến quản trị viên bảo mật và một tin nhắn được gửi đến Slack để thông báo cho nhóm bảo mật để họ có thể xác minh tính hợp pháp của hoạt động.

Tình huống 3: Các chỉ số phức tạp về sự thỏa hiệp
Một hệ thống tiếp nhận bệnh nhân tại một phòng khám chăm sóc sức khỏe đang chứng minh hoạt động PowerShell bất thường phù hợp với các chiến dịch tấn công ransomware đã biết. Sự cố ngay lập tức kích hoạt một playbook để cô lập máy chủ bị xâm phạm và chặn liên lạc từ các nguồn bên ngoài để ngăn chặn sự lây lan sang các máy chủ khác.

nghiên cứu
Kịch bản đầu tiên là một ví dụ về một tổ chức đang ở giai đoạn đầu khám phá tính năng tự động hóa trong kế hoạch ứng phó của mình. Nó cho phép một quyết định do con người hướng dẫn diễn ra trước khi thực hiện thay đổi đối với kiểm soát bảo mật - trong trường hợp này là vô hiệu hóa người dùng được ủy quyền. Nó cũng mở ra một vé cho các đội để điều tra thêm. Ở giai đoạn này, tổ chức sẽ muốn đảm bảo rằng tổ chức biết mức độ quan trọng của các tài sản và phân loại chúng là "điều này là quan trọng" để tự động hóa phản ứng theo quy mô.

Kịch bản thứ hai là một ví dụ về một tổ chức bắt đầu áp dụng tự động hóa. Có một điều kiện kích hoạt kiểm soát bảo mật tự động điều chỉnh các quyền hạn chế hơn một chút. Điều này cho phép người dùng vẫn truy cập tài nguyên nội bộ và vẫn hoạt động hiệu quả trong khi điều tra viên xác nhận xem sự bất thường có phải là hoạt động hợp lệ hay không. Ở giai đoạn này, sẽ có đủ các loại sự cố giống nhau và các loại hành động giống nhau để có thể tự tin thực hiện hành động kiểm soát an ninh trong khi cuộc điều tra đang diễn ra.

Kịch bản thứ ba cho thấy một công ty hoàn toàn áp dụng tự động hóa. Có một tập hợp các điều kiện đã được đáp ứng và hệ thống tự động sẽ tự động thực hiện các hành động trên máy chủ và ở các kiểm soát bảo mật biên để ngăn chặn việc lan truyền và lấy pwn3d. Tốc độ là rất quan trọng, vì vậy không có điểm quyết định của con người, mặc dù sẽ có một số loại thông báo cho các bên liên quan thích hợp để thực hiện thêm pháp y và củng cố các hệ thống bị ảnh hưởng.

Mỗi tình huống này yêu cầu nhiều hành động, bao gồm thông báo cho người quản lý bảo mật về sự cố và điều chỉnh các biện pháp kiểm soát an ninh. Hầu hết các tổ chức bắt đầu triển khai phản hồi tự động sẽ bắt đầu bằng việc thông báo cho nhân viên khi một điều kiện được đáp ứng cho đến khi cảm thấy thoải mái rằng một hành động về kiểm soát an ninh sẽ không gây ra hậu quả ngoài ý muốn làm gián đoạn hoạt động kinh doanh; sau đó nó sẽ dần dần thực hiện tự động hóa ở những nơi có ý nghĩa. Cuối cùng, một tổ chức thành công cảm thấy thoải mái với tư thế bảo mật của mình và áp dụng các biện pháp kiểm soát theo tốc độ của riêng mình, cân bằng giữa tự động hóa quy trình và tương tác của con người để giải quyết các yêu cầu bảo mật của tổ chức đó.

Nguồn: https://www.darkreading.com/emerging-tech/automating-response-is-a-marathon-not-a-sprint

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?