Poti apara doar ceea ce vezi

 
In realitate, ceea ce nu stim poate sa devina sursa perfecta a celor mai dureroase experiente. In domeniul securitatii cibernetice exista un mesaj clar: nu poti apara ceea ce nu poti vedea. Dar, vizibilitatea, critica pentru protectia eficienta a retelei, a devenit mult mai dificil de realizat. Pe masura ce numarul dispozitivelor IoT creste exponential, amploarea, domeniul de aplicare si chiar definitia retelei s-au schimbat dramatic. Implementarile in medii multi-cloud si abordarile DevOps au dispersat datele organizatiilor, in timp ce nivelul sporit de mobilitate genereaza tot mai multe puncte de acces. CISO modern si echipele actuale trebuie sa protejeze o suprafata de atac care este in continua, constanta si rapida expansiune.
„Lipsa de vizibilitate la nivel de elemente, functii si activitati cheie ale retelei lasa orice intreprindere expusa unui atac cibernetic cu potential devastator”, avertizeaza Michael Chertoff, fost secretar al Departamentului Securitatii Interne. „Daca vizibilitatea in intreaga retea, asupra tuturor tehnologiilor, este importanta, m-as concentra pe patru domenii cheie, care ar putea oferi profesionistilor in securitate cea mai buna intelegere a potentialelor amenintari care se arunca pe sistemele lor: vizibilitate pe dispozitive, vizibilitate pe software si la nivel de cod, vizibilitatea activitatii retelei si vizibilitatea accesului.”
Pentru Tim Crothers de la Target, o noua abordare a vizibilitatii inseamna renuntarea la atitudinea pasiva traditionala si intelegerea ei ca un proces continuu care sa conduca la o mai buna intelegere si la o analiza mai profunda a motivelor si modului de a actiona al atacatorilor. Parcurgerea acestor etape ofera expertilor in securitate premizele unei ofensive eficiente.
„Daca intelegem faptul ca atacatorii cauta credentiale pastrate in memoria locala si de ce, putem intinde o plasa”, explica Crasts. „Putem rula un script in gazdele noastre locale, care memoreaza in cache credentialele de administrare false – stiind ca nu exista nici o utilizare legitima pentru recoltarea acreditarilor – si sa asteptam sa prinda momeala. Un criminal cibernetic care a obtinut acces la o retea nu are cum sa stie daca certificatele obtinute sunt valabile sau nu – pana cand nu le incearca, iar atunci cand fac acest lucru, acestea declanseaza o serie de alarme care ii impiedica sa mearga mai departe.”
Este o abordare care estompeaza liniile dintre vizibilitate si strategia proactiva de inspectie. „Inspectia este garantia care permite echipelor de securitate sa opreasca preventiv atacurile prin gasirea unor „necunoscute cunoscute”, explica autorul Digital Big Bang, Phil Quade, „bresele din retea – actuale sau potentiale – exista, doar ca nu se stie exact unde.”
Modul in care are loc inspectia poate impacta diverse audiente – iar modul in care acestea raspund depinde adesea de contextul in care se produce.
„Inspectia, ca toate formele de securitate, este contextuala”, scrie Ed Amoroso, TAG Cyber. „Oamenii inteleg diferit ideea de securitate atunci cand se refera la casele sau birourile lor, si intr-o cu totul alta maniera cand este vorba despre o camera de supraveghere, care – sa zicem – este instalata pe o platforma de metrou, la ora 2 dimineata. Echipele IT trebuie sa explice – si, mai important, sa implementeze – instrumente si tehnici de inspectie intr-o maniera consistenta cu acest aspect al naturii umane. Organizatiile, care nu pot face un caz clar si convingator pentru utilizarea transparenta a inspectiei, risca sa piarda controlul asupra tuturor datelor lor. ”
Un avantaj strategic oferit de o mai mare vizibilitate si inspectie este informatia si rapoartele care vizeaza un plan complet de recuperare.
„Reducerea timpului dintre descoperirea incidentului si recuperare este un element esential in pregatirea evenimentelor”, spune Simon Lambe, lider in securitatea informatiilor la un serviciu national de posta. „Pentru a realiza acest lucru, este nevoie de gestionarea completa a bunurilor si de monitorizarea activa a evenimentelor … Din pacate, multe echipe de securitate nu stiu nici macar ce resurse sunt conectate la retea, cu atat mai putin cum sa le acorde prioritate sau rolul crucial pe care il are buna gestionare a acestora. “
Vezi aici sursa articolului de mai sus.