Raspunsul la incidente “Fab Five”

Jon Oltsik, Networkworld
M-am concentrat pe analitica securitatii mai multi ani si am petrecut o buna parte din anul 2015 investigand tehnologii si metodologii folosite pentru raspunsul la incidente.  Pe baza mai multor discutii cu specialisti in domeniul securitatii cibernetice si o analiza a cercetarilor din industrie, am propus un concept pe care il numesc raspunsul la incidente “fab five.”  Societatile private cu cel mai eficient si efectiv sistem de detectare si raspuns la incidente tind sa stabileasca cea mai buna practica si sincronizare in 5 domenii distincte:
Analize aprofundate ale produselor care vor ajuta orice SMB sa ia decizii de tehnologie strategica esentiale.

  • Monitorizarea gazdei. Aceasta este centrata pe intelegerea stadiului si activitatilor calculatoarelor gazda.  Monitorizarea gazdei tinde sa se concentreze pe PC-uri Windows, dar poate sa includa si supravegherea calculatoarelor Mac, Linux, a serverelor si chiar a volumelor de lucru in cloud.  Din punct de vedere istoric, monitorizarea gazdei s-a bazat pe colectarea si analiza autentificarilor, dar managerii SOC adopta si instrumente EDR cu sursa deschisa (de ex. GRR, MIG etc.), precum si oferte judiciare comerciale (de ex. Carbon Black, Countertack, Hexis Cyber Solutions, Guidance Software EnCase, RSA Ecat, Tanium etc.).  Exista o tendinta catre colectarea, procesarea si analiza mai multor date criminalistice gazda in timp real.
  • Monitorizarea retelei. In afara de autentificarile de retea, vad organizatii de prima marime care colecteaza si analizeaza o combinatie de date de flux si PCAP.  Ganditi-va la tehnologiile de la Blue Coat (Solera), si RSA (NetWitness).  Inca o data conteaza mult capacitatea de a obtine datele de care ai nevoie in timp real. Retineti ca aceasta activitate tinde sa necesite capacitatea de a decripta, procesa si dirija traficul retelei incriptate.
  • Informatii legate de amenintari.  Programele CERT puternice colecteaza, proceseaza, analizeaza si coreleaza informatii externe legate de amenintari si apoi le compara cu ceea ce se intampla in interiorul firewall-ului.  In acest caz, informatiile legate de amenintari includ fluxuri comerciale cu sursa deschisa (de ex. iSight Partners, Norse, Symantec DeepSight etc.), precum si informatii din analiza malware-ului static/dinamic.  Organizatii de marca au dezvoltat sau achizitionat platforme pentru informatii legate de amenintari pentru a de-duplica, corela si normaliza informatiile externe privind amenintarile si tind sa fie mai avansate cu standarde de informatii legate de amenintari ca STIX si TAXII.
  • Monitorizarea comportamentului utilizatorului.  Principalii respondenti in caz de incidente supravegheaza actiunile utilizatorilor cautand amenintarile din interior si furtul de identitate.  Acest domeniu este probabil cel mai elementar acum, bazat de obicei pe panouri de control/instrumente personalizate care trag date din directorul activ, instrumente de autentificare, autentificari de sistem si sisteme MDM.  Cred ca vom vedea o adoptare mai mare a instrumentelor mai automate de Analitica Comportamentului Utilizatorului (UBA).
  • Automatizarea proceselor. In mod clar, societatile private mari isi bazeaza activitatile de raspuns si detectare a incidentelor pe cantitati masive de date pentru a dobandi constientizare situationala si a lua masurile de remediere corespunzatoare. Din pacate, nu este foarte eficient sa faci acest lucru atunci cand raspunsul la incidente depinde de o armata de instrumente independente si motoare de raportare distribuite in retea. Firmele gestioneaza acest lucru cu automatizarea si orchestrarea raspunsului la incidente realizandu-si propriile registre de proceduri/fluxuri de lucru, avand acces la API software, scriind scripturi sau implementand platforme IR comerciale din CyberSponse, Invotas, Phantom Cyber, Resilient Systems sau ServiceNow.  Preconizez de asemenea o volum mare de activitate de automatizare / orchestrare IR in 2016.

O observatie finala:  Pentru a imbunatati IR in 2016, ofiterii centrali de securitate informatica trebuie sa se asigure ca au o strategie de coordonare si progres in toate cele 5 domenii.
Ofiterii centrali de securitate informatica ar trebui sa ia in considerare si sa coordoneze detectarea incidentelor si raspunsul in cinci domenii: gazde, retele, informatii legate de amenintari, monitorizarea comportamentului utilizatorului si automatizarea proceselor.
Jon Oltsik este analist principal la Enterprise Strategy Group responsabil pentru serviciile de networking si securitate de la ESG.