5 cách kiểm tra bảo mật có thể hỗ trợ ứng phó sự cố

Tầm quan trọng của việc các tổ chức hiểu được đối thủ của mình là ai và cách họ hoạt động trong môi trường doanh nghiệp là không thể phủ nhận. Cách tiếp cận của tổ chức đối với việc kiểm tra an ninh mạng và cải thiện khả năng phục hồi trước bối cảnh mối đe dọa ngày càng biến động phải được củng cố dựa trên quan điểm này.

Các yếu tố cốt lõi của chương trình thử nghiệm an ninh mạng được thiết kế tốt là giúp tổ chức xác định và khắc phục các lỗ hổng, liên tục thách thức khả năng phát hiện và ứng phó, tinh chỉnh các ưu tiên thu thập thông tin về mối đe dọa và tăng cường khả năng chuẩn bị cho sự cố tổng thể thông qua việc kiểm tra căng thẳng liên tục các kế hoạch ứng phó. Các Báo cáo Chi phí vi phạm dữ liệu năm 2022 của IBM cho thấy mức tiết kiệm chi phí vi phạm trung bình đối với các tổ chức thường xuyên kiểm tra các kế hoạch ứng phó sự cố là 2.66 triệu USD (khoảng 2 triệu bảng Anh).

Mặc dù không có giải pháp chung cho tất cả nhưng dưới đây là 5 điểm chính cần cân nhắc mà các tổ chức có thể tập trung vào khi phát triển chiến lược tổng thể nhằm xây dựng và duy trì chương trình thử nghiệm an ninh mạng.

1. Cộng tác giữa các nhóm

Hợp tác là nơi tạo nên sức mạnh của tổ chức, vì vậy các nhóm bảo mật nên tập trung xây dựng mối quan hệ nội bộ với các nhóm khác nhau. Các nhóm bảo mật nên nhớ rằng thành phần con người rất quan trọng và xác định một quy trình rõ ràng để cho phép các đại diện từ trung tâm điều hành bảo mật (SOC), rủi ro/tuân thủ, quản lý lỗ hổng bảo mật (VM), thông tin về mối đe dọa mạng (CTI) và các chức năng kiểm tra bảo mật một cách hiệu quả. thúc đẩy sự hợp tác.

Nếu có thể, hãy khuyến khích các nhóm này thảo luận trực tiếp. Điều này sẽ tạo cơ hội cho mối quan hệ giữa các nhóm ở cấp độ cá nhân và phát triển tình bạn thân thiết sẽ đi một chặng đường dài để đạt được mục tiêu chung.

Việc tạo ra một khuôn khổ quản trị xác định trách nhiệm rõ ràng và thúc đẩy hoạt động liên lạc minh bạch giữa các nhóm này để chia sẻ kết quả nhanh chóng sẽ cho phép đưa ra quyết định tốt hơn, ứng phó sự cố nhanh hơn và đánh giá toàn diện về khả năng mạng của tổ chức.

Sự hợp tác cho phép nâng cao sự đánh giá cao về kỹ thuật và phương pháp của nhau, cũng như trao đổi kiến ​​thức và chuyên môn để cải thiện các chiến lược phát hiện và giảm thiểu mối đe dọa.

2. Thực hiện theo cách tiếp cận dựa trên rủi ro và dựa trên thông tin để xác định phạm vi

Một quy trình liên tục quản lý thông tin về mối đe dọa sẽ cho phép các tổ chức xây dựng và duy trì một thư viện toàn diện và cập nhật về các kịch bản tấn công cơ bản. Đầu tiên, xác định nhóm tác nhân đe dọa nào có khả năng được thúc đẩy để nhắm mục tiêu vào tổ chức. Việc kết hợp điều này với các kịch bản cơ sở đã được thiết lập sẽ giúp xác định một danh sách đầy đủ các chiến thuật, kỹ thuật và thủ tục (TTP).

Các tổ chức thường có một số tài sản trong môi trường của họ, điều này khiến việc xác định các điểm rủi ro cũng như đánh giá vị trí và số tiền nên chi cho việc xác định và khắc phục lỗ hổng trở nên khó khăn. Việc đánh giá danh sách đầy đủ các TTP được xác định dựa trên tất cả các tài sản trong phạm vi có thể không thực tế về mặt thời gian.

Một cách tiếp cận dựa trên rủi ro hơn là tạo ra một tập hợp con hợp lý của các chuỗi TTP và các chi tiết phần mềm và cơ sở hạ tầng kết hợp và kết hợp một cách sáng tạo mà không bị ràng buộc vào một danh sách kiểm tra mở rộng. Điều này tạo ra các kịch bản phụ được nhắm mục tiêu để nhóm mô phỏng cuộc tấn công tập trung vào ban đầu.

Cách tiếp cận này sẽ giúp CISO đo lường chi tiết hơn sức mạnh của các biện pháp giảm thiểu thực tế hiện có và xác định các lĩnh vực ưu tiên cao trên các dịch vụ kinh doanh quan trọng, đồng thời sử dụng tối ưu các nguồn lực hiện có.

3. Thực hiện kiểm tra căng thẳng liên tục các biện pháp kiểm soát phòng thủ mạng

Tận dụng các kịch bản và danh sách TTP ưu tiên được xác định để liên tục thực hiện phản ứng kinh doanh và kỹ thuật của tổ chức. Tập hợp con kịch bản sẽ tăng độ phức tạp khi chương trình ứng phó sự cố trưởng thành. Khi nhóm bảo mật đã thất bại trước đó, các tình huống này phải được lặp lại để tổ chức có thể cải thiện quy trình trong trường hợp xảy ra một cuộc tấn công thực sự.

Điều quan trọng là phải chọn chiến thuật “thấp và chậm” mà SOC có thể phát hiện và nhóm VM có thể khắc phục — nhưng đừng khiến mọi việc trở nên quá dễ dàng. Việc lựa chọn cẩn thận các TTP khiến SOC khó bảo vệ hơn sẽ khuyến khích các nhóm này không ngừng mài giũa kỹ thuật của họ, cũng như thúc đẩy tổ chức cập nhật các chiến lược ứng phó.

Sự lựa chọn giữa độ phức tạp, khả năng tàng hình và tốc độ sẽ được quyết định bởi hồ sơ rủi ro và các ưu tiên về mối đe dọa của tổ chức đã góp phần định hình kịch bản thử nghiệm cụ thể.

4. Đặt số liệu để theo dõi sự hiểu biết được chia sẻ và cải tiến

Tiêu chí thành công cần được xác định và theo dõi để chứng minh việc giảm thiểu rủi ro tổng thể đối với tài sản của tổ chức. Các số liệu như giảm thời gian phát hiện và/hoặc phản hồi, giảm các cuộc tấn công thành công, v.v. rất hữu ích để đưa ra các cải tiến cho bảng một cách hiệu quả.

Sẽ rất hữu ích khi so sánh kết quả của các cuộc kiểm tra thâm nhập trước đó và sau đó, các bài tập của đội đỏ và/hoặc mô phỏng tấn công có chủ đích, tập trung vào số lượng lỗ hổng có nguy cơ cao được xác định và khai thác, cũng như tỷ lệ thành công chung của những người kiểm tra.

Khả năng phân tích những thay đổi trong bối cảnh mối đe dọa và chứng minh khả năng tăng cường giảm thiểu các mối đe dọa hiện tại và đang phát triển sẽ giúp CISO chứng minh khả năng giảm thiểu rủi ro được cải thiện.

5. Thiết lập các kênh phản hồi để thúc đẩy cải tiến quy trình

Phân tích các quan sát thử nghiệm đối với các TTP đã thực thi cùng với các biện pháp giảm thiểu có thể thực hiện được xác định dọc theo chuỗi tấn công. Kết quả kiểm tra cũng sẽ cung cấp sự hiểu biết tốt hơn về những lỗ hổng nào có nhiều khả năng bị khai thác nhất và có thể giúp tinh chỉnh mức độ ưu tiên rủi ro trong quy trình VM.

Việc chia sẻ những kết quả này theo thời gian thực với nhóm CTI cho phép họ giám sát các mối đe dọa tiềm ẩn có thể khai thác lỗ hổng, cải thiện hiểu biết lý thuyết về các mối đe dọa đã được ghi lại và cung cấp thông tin chuyên sâu về các lỗ hổng chưa biết trước đây, cũng như giúp ưu tiên các lĩnh vực cần nghiên cứu và phân tích thêm.

Một bảng điều khiển tập trung để tổng hợp các kết quả thử nghiệm trong thời gian thực từ hiện trường, có thể cung cấp cho các bên liên quan của nhóm SOC những lỗ hổng được xác định trong các công cụ giám sát bảo mật và hệ thống cảnh báo, là cực kỳ hữu ích.

Cung cấp một phạm vi đào tạo việc thực hành và xác nhận các kế hoạch IR cũng như xác định các lĩnh vực cần cải thiện thời gian ứng phó là điều hữu ích để cải thiện khả năng chuẩn bị cho sự cố tổng thể.

Mục tiêu cuối cùng

Sản phẩm Triển vọng an ninh mạng toàn cầu của WEF 2023 cho biết 43% lãnh đạo doanh nghiệp tin rằng tổ chức của họ có thể sẽ bị tấn công lớn trong vòng hai năm tới. Một sự thay đổi toàn diện đối với thử nghiệm an ninh mạng, thông qua việc tăng cường hợp tác và cải tiến các quy trình quản lý rủi ro, sẽ nâng cao khả năng phục hồi trước các cuộc tấn công mạng.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/5-ways-security-testing-can-aid-incident-response