Jak używać NIST CSF 2.0 do identyfikacji luk w zabezpieczeniach: Część 4

Witamy ponownie w pięcioczęściowej serii na temat korzystania z ram cyberbezpieczeństwa (NIST CSF 2.0) w celu zbudowania właściwego programu cyberbezpieczeństwa. Jeśli przegapiłeś poprzednie części, możesz je znaleźć tutaj:

• Część 1 dotycząca wprowadzenia NIST CSF 2.0.
• Część 2 dotycząca tworzenia macierzy cyberobrony w celu identyfikacji luk w zabezpieczeniach.
• Część 3 dotycząca fazy „przygotowania” (zarządzanie, identyfikacja, ochrona).
• W części 4 tego bloga przejdziemy przez fazę łańcucha ataku do fazy incydentu (aktywnego zagrożenia)..

Incydent (aktywne zagrożenie)

Jak opisaliśmy w części pierwszej, faza incydentu, która obejmuje funkcje wykrywania i reagowania NIST CSF 2.0 dotyczy wykrywania i reagowania na zagrożenia w czasie rzeczywistym. Ta faza koncentruje się na tym, jak organizacja radzi sobie ze stałym całodobowym monitorowaniem w celu wykrywania incydentów w miarę ich występowania oraz na swojej zdolności do reagowania na nie w odpowiednim czasie, aby zaradzić zagrożeniu, zanim stanie się ono pełnoprawnym naruszeniem, które uszkodzi lub zakłóci funkcjonowanie organizacji.

Podobnie jak wszystkie funkcje w NIST CSF 2.0, funkcje wykrywania i reagowania obejmują szereg kategorii i podkategorii, które pomagają w określeniu, w jaki sposób organizacja powinna rozwijać program cyberbezpieczeństwa i zespół, aby skupić się na tych obowiązkach. Możesz przeczytać pełny opis w dokumentacji NIST CSF 2.0.

Wykrywaj i reaguj

Ważne jest, aby połączyć funkcje wykrywania i reagowania oraz zająć się nimi razem, ponieważ jedna nie może realnie istnieć bez drugiej. Organizacja skupiająca się na wykrywaniu bez reagowania będzie w stanie identyfikować zagrożenia, ale nie będzie w stanie na nie reagować. To sprawia, że organizacja jest podatna na zagrożenia. Podobnie, skupianie się na reagowaniu bez posiadania skutecznego mechanizmu wykrywania zagrożeń spowoduje, że organizacje przeoczą zagrożenia i incydenty.

Zamiast tego organizacje powinny ocenić swoje wewnętrzne potrzeby, wymagania, możliwości i budżet, aby ustalić, w jaki sposób będą realizować te funkcje. Podczas gdy większość skupi się na części dotyczącej wykrywania i reagowania, istnieją inne obszary zainteresowania, które są niezbędne do zbudowania udanego programu cyberbezpieczeństwa, który jest w stanie prawidłowo identyfikować zagrożenia i reagować na nie. Firmy mogą zdecydować się na zbudowanie tej zdolności wewnętrznie z pełnym zespołem SOC lub zlecić wszystkie lub większość tych obowiązków partnerowi, takiemu jak Bitdefender, za pośrednictwem Managed Detection and Response (MDR).

Choć dokładne tytuły i role mogą ulec zmianie, oto cztery obszary, które składają się na odpowiedni zespół zajmujący się wykrywaniem i reagowaniem:

• Wywiad i badania zagrożeń
• Inżynieria wykrywania
• Analityk SOC
• Osoba reagująca na zagrożenia

Wiele organizacji może pełnić te same role, jednak na potrzeby tego artykułu ważne jest, aby wyodrębnić je jako oddzielne obszary o unikalnych obowiązkach.

Informacje o zagrożeniach i badania

Rola zespołu ds. informacji o zagrożeniach i badań, jak sugeruje jej nazwa, polega na przeprowadzaniu niezbędnych badań i zbieraniu informacji wywiadowczych, aby upewnić się, że zespół jest w stanie wykrywać zagrożenia. Badają krajobraz cyberbezpieczeństwa, analizują nowe zagrożenia, taktyki i procedury, których używają przeciwnicy, i analizują te informacje, aby mogły być wykorzystane przez pozostałych członków zespołu do wykrywania i reagowania na zagrożenia. Organizacje powinny szukać osób o zróżnicowanym doświadczeniu w dochodzeniach i zbieraniu informacji wywiadowczych, aby zbudować udany zespół.

Inżynieria wykrywania

Inżynierowie ds. wykrywania mają tendencję do pozostawania niezauważonymi lub często są traktowani na końcu podczas budowania udanego zespołu ds. cyberbezpieczeństwa. Ich obowiązki służbowe mają tendencję do wchłaniania innych ról, ale to, co robią, jest odrębne i ważne. Często siedzą między Threat Intel a SOC Analyst/Threat Responders, pobierając przeanalizowane i skonsolidowane dane od zespołu ds. zagrożeń i przekształcając je w przydatne narzędzia i mechanizmy wykrywające zagrożenia, których analitycy i respondenci mogą używać w swojej pracy. Pomagają budować detektory i analizy w celu identyfikowania podejrzanych działań i zachowań.

Analityk SOC

Analitycy SOC stanowią większość zespołu. Ta rola koncentruje się na monitorowaniu narzędzi i zdarzeń 24×7, poszukiwaniu złośliwej i podejrzanej aktywności oraz identyfikowaniu zagrożeń. Nadzorują wdrażane narzędzia bezpieczeństwa, przeglądają alerty i zdarzenia, przeprowadzają dochodzenia i podejmują decyzje. Mogą poświęcić sporo czasu na eliminowanie fałszywych alarmów i identyfikowania rzeczywistych zagrożeń.

Osoba reagująca na zagrożenia

Rola Threat Responder jest ostatnim elementem układanki. Są to osoby przeszkolone w zakresie neutralizowania zagrożeń. Rozwiązują incydent, reagując doświadczeniem, wiedzą i biegłością, aby zminimalizować wpływ zagrożenia, zanim doprowadzi ono do pełnowymiarowego naruszenia.

Jak przygotować się i właściwie reagować na aktywne zagrożenia?

Gdy zrozumiesz już strukturę zespołu lub programu i cztery ogólne role, Twoja organizacja może sformułować kolejne kroki, w tym następujące.

• Przeanalizuj i zrozum potrzeby organizacji w zakresie bezpieczeństwa oraz jej ogólne cele.
• Oceń, co jest obecnie dostępne lub robione przez organizację. Obejmuje to:Jaka infrastruktura jest dostępna? Jacy członkowie zespołu są obecni i jakie są ich obecne role i obowiązki Jakie doświadczenie w dziedzinie bezpieczeństwa ma zespół?
• Określ harmonogram realizacji tego projektu.
• Oceń prawdopodobieństwo wystąpienia zagrożeń dla organizacji.
• Określ całkowity budżet, który zostanie przydzielony.
• Określ opcjonalne podejścia i rozważ za i przeciw każdego z nich (budowa wewnętrzna lub zlecenie na zewnątrz).

Budować zespoły wewnętrzne czy zlecić ochronę firmie zewnętrznej?

Po udzieleniu odpowiedzi na pytania i wymagania przedstawione powyżej organizacje powinny mieć jaśniejszy pomysł na to, jak wdrożyć właściwy zespół lub program wykrywania i reagowania. Jednak dla tych, którzy nadal nie są pewni, oto kilka szybkich zalet i wad, dlaczego organizacje zdecydowałyby się na budowę zespołu wewnętrznego lub dlaczego zleciłyby to zadanie na zewnątrz lub nawiązałyby współpracę z zewnętrznym dostawcą zabezpieczeń w celu uzyskania takiej możliwości:

Korzystanie ze szczegółowego planu

Chociaż każda z sześciu funkcji NIST jest ważna, to funkcje wykrywania i reagowania stanowią największą część ochrony przed zagrożeniami.

Pomyśl o ochronie domu. Zamykanie drzwi i okien oraz zakładanie bram wokół posesji powstrzyma większość przestępców przed próbą włamania, ale nie daje pełnej gwarancji. Jeśli właściciele domu wyjechali i nie mają sposobu na wykrycie intruza i reagowanie w czasie rzeczywistym, przestępcy mogą poświęcić czas na ominięcie zabezpieczeń i włamanie się. Z drugiej strony, posiadanie kamer bezpieczeństwa i kogoś monitorującego aktywność wokół domu z możliwością reagowania w czasie rzeczywistym może zatrzymać przestępców w miejscu. Podobnie jest w przypadku cyberbezpieczeństwa.

Faza przygotowawcza pomaga zmniejszyć ryzyko i zapobiec wielu zagrożeniom i przeciwnikom, ale te narzędzia i środki bezpieczeństwa można ominąć. Przygotowanie pomaga zmniejszyć prawdopodobieństwo ataku, ale nie eliminuje go całkowicie. Wykrywanie i reagowanie koncentruje się na aktywnych zagrożeniach w czasie rzeczywistym i możliwości identyfikacji incydentu w miarę jego występowania, dzięki czemu Twoja organizacja może natychmiast zareagować, aby zatrzymać przeciwnika w miejscu.

Twoja organizacja powinna nadać tym funkcjom priorytet i określić podejście, które jest właściwe dla Twojej firmy. Obejmuje to zrozumienie wymagań dotyczących budowania udanego zespołu i zapewnienie im niezbędnego budżetu, zasobów i narzędzi.

Badania konsekwentnie pokazują, że organizacje z odpowiednim zespołem lub programem wykrywania i reagowania, takim jak Bitdefender GravityZone XDR są mniej podatne na naruszenia. A jeśli dojdzie do naruszenia, jego wpływ jest znacznie mniejszy dzięki możliwości szybkiej i skutecznej reakcji i naprawy.