Beveiligingsbewerkingen

  • Artikel
  • 5 minuten om te lezen

Beveiligingsbewerkingen onderhouden en herstellen de beveiligingsgaranties van het systeem wanneer live-aanvallers het aanvallen. De taken van beveiligingsbewerkingen worden goed beschreven door de NIST Cybersecurity Framework-functies detecteren, reageren en herstellen.

  • Detecteren: beveiligingsbewerkingen moeten de aanwezigheid detecteren van aanvallers in het systeem, die in de meeste gevallen worden aangestreerd om verborgen te blijven, omdat ze hierdoor hun doelstellingen ongeimped kunnen bereiken. Voorbeelden hiervan zijn het reageren op een waarschuwing van verdachte activiteiten of proactief zoeken naar afwijkende gebeurtenissen in de activiteitenlogboeken van de onderneming.

  • Respond: bij de detectie van een mogelijke aanvalleractie of -campagne moeten beveiligingsbewerkingen snel worden onderzocht om te bepalen of het om een werkelijke aanval (echt positief) of om een onwaar alarm (fout-positief) gaat en vervolgens het bereik en doel van de adversary-bewerking opsnoemen.

  • Herstellen: het uiteindelijke doel van beveiligingsbewerkingen is het behouden of herstellen van de beveiligingsgaranties (vertrouwelijkheid, integriteit, beschikbaarheid) van zakelijke services tijdens en na een aanval.

Het grootste beveiligingsrisico dat de meeste organisaties lopen, is afkomstig van operators voor menselijke aanvallen (van verschillende vaardigheidsniveaus). Dit komt doordat het risico van geautomatiseerde/herhaalde aanvallen voor de meeste organisaties aanzienlijk is beperkt door middel van handtekeningen en op machine learning gebaseerde benaderingen die zijn ingebouwd in antimalware (hoewel er belangrijke uitzonderingen zijn zoals Wantcrypt en NotPetya, die sneller zijn gegaan dan deze verdedigingsmethoden).

Hoewel operators van menselijke aanvallen lastig zijn om te worden geconfronteerd vanwege hun aanpassingsvermogen (vs. geautomatiseerde/herhaalde logica), werken ze met dezelfde menselijke snelheid als defenders, waardoor het spelniveau kan worden " " geniveaud.

Beveiligingsbewerkingen (ook wel security operations center of SOC genoemd) spelen een cruciale rol bij het beperken van de tijd en toegang die een aanvaller kan krijgen tot waardevolle systemen en gegevens. Elke minuut die een aanvaller in de omgeving heeft, kan hij of zij aanvalsbewerkingen blijven uitvoeren en toegang krijgen tot gevoelige/waardevolle systemen.

Doelstelling en metrische gegevens

De metrische gegevens die u meet, hebben een aanzienlijk effect op het gedrag en de resultaten van beveiligingsbewerkingen. Als u zich richt op de juiste metingen, kunt u de juiste gebieden continu verbeteren, waardoor de risico's aanzienlijk worden verkleind.

Om ervoor te zorgen dat beveiligingsbewerkingen effectief toegang hebben tot aanvallers, moeten de doelstellingen zich richten op

  • De tijd verkorten om een waarschuwing te bevestigen om ervoor te zorgen dat gedetecteerde aanvallers niet worden genegeerd terwijl defenders tijd besteden aan het onderzoeken van fout-positieven.

  • De tijd verkorten om een gevonden aanvaller te herstellen om de kans op aanvallen en aanvallen te verminderen en gevoelige systemen te bereiken

  • Het prioriteren van investeringen in beveiliging in systemen met een hoge intrinsieke waarde (waarschijnlijke doelen/grote bedrijfsimpact) en toegang tot veel systemen of gevoelige systemen (beheerdersaccounts en gevoelige gebruikers)

  • Vergroot de focus op proactieve opsporing van aanvallers naarmate uw programma zich verder ontwikkeld en reactieve incidenten onder controle komen. Richt u op het verkorten van de tijd die een hoger ervaren aanvaller in de omgeving kan gebruiken (bijvoorbeeld ervaren genoeg om reactieve waarschuwingen te ontampen).

Zie voor meer informatie over hoe de SOC van Microsoft ' deze metrische gegevens https://aka.ms/ITSOC gebruikt.

Hybride bedrijfsweergave

Beveiligingsbewerkingen moeten ervoor zorgen dat hun hulpprogramma's, processen en vaardighedensets van analisten inzicht bieden in de volledige levensduur van hun hybride omgeving.

Aanvallers beperken hun acties niet tot een bepaalde omgeving wanneer ze gericht zijn op een organisatie. Ze vallen resources op elk platform aan met een ' methode die beschikbaar is. Bedrijfsorganisaties die cloudservices zoals Azure en AWS gebruiken, werken effectief met een hybride cloud- en on-premises assets.

Hulpprogramma's en processen voor beveiligingsbewerkingen moeten zijn ontworpen voor aanvallen op cloud- en on-premises assets, evenals aanvallers die met behulp van identiteit of andere middelen tussen cloud- en on-premises resources draaien. Deze bedrijfsbrede weergave stelt beveiligingsteams in staat om snel aanvallen te detecteren, te reageren en te herstellen, waardoor het organisatierisico wordt verkleind.

Native detecties en besturingselementen toepassen

Gebruik indien mogelijk beveiligingsdetecties en -besturingselementen die zijn ingebouwd in het cloudplatform voordat u aangepaste detecties maakt met behulp van gebeurtenislogboeken van de cloud.

Cloudplatforms ontwikkelen zich snel met nieuwe functies, waardoor het onderhouden van detecties lastig kan worden. Native besturingselementen worden onderhouden door de cloudprovider en zijn doorgaans van hoge kwaliteit (lage fout-positieve snelheid).

Omdat veel organisaties mogelijk meerdere cloudplatforms gebruiken en een uniforme weergave in de hele onderneming nodig hebben, moet u ervoor zorgen dat deze systeemeigen detecties en besturingselementen een siem of een ander hulpprogramma centraliseren. We raden u niet aan om algemene hulpprogramma's en query's voor logboekanalyse te vervangen in ' plaats van native detecties en besturingselementen. Deze hulpprogramma's kunnen talloze waarden bieden voor proactieve hunting-activiteiten, maar voor het verkrijgen van een waarschuwing van hoge kwaliteit met deze hulpprogramma's is een diepgaande expertise en tijd vereist die beter kan worden besteed aan de hunting-activiteiten en andere activiteiten.

Als aanvulling op de brede zichtbaarheid van een gecentraliseerd SIEM (zoals Azure Sentinel, Splunk of QRadar), moet u als volgt native detecties en besturingselementen gebruiken:

  • Organisaties die Azure gebruiken, moeten Azure Security Center voor het genereren van waarschuwingen op het Azure-platform.

  • Organisaties moeten gebruikmaken van native logboekregistratiemogelijkheden zoals Azure Monitor en AWS CloudTrail voor het binnenhalen van logboeken in een centrale weergave.

  • Organisaties die Azure gebruiken, moeten netwerkbeveiligingsgroepmogelijkheden (NSG's) gebruiken om inzicht te krijgen in netwerkactiviteiten op het Azure-platform.

  • Onderzoeksprocedures moeten gebruikmaken van native hulpprogramma's met een diepgaande kennis van het assettype, zoals een oplossing voor eindpuntdetectie en -respons (EDR), identiteitshulpprogramma's en Azure Sentinel.

Prioriteit geven aan de integratie van waarschuwingen en logboeken

Zorg ervoor dat u kritieke beveiligingswaarschuwingen integreert en zich aanmeldt bij SIEM's zonder een groot volume aan gegevens met lage waarde te introduceren.

Het introduceren van gegevens met te veel lage waarden kan de SIEM-kosten verhogen, ruis en fout-positieven verhogen en de prestaties verlagen.

De gegevens die u verzamelt, moeten zijn gericht op het ondersteunen van een of meer van deze activiteiten:

  • Waarschuwingen (detecties van bestaande hulpprogramma's of gegevens die vereist zijn voor het genereren van aangepaste waarschuwingen)

  • Onderzoek van een incident (bijvoorbeeld vereist voor veelvoorkomende query's)

  • Proactieve hunting-activiteiten

Als u meer gegevens integreert, kunt u waarschuwingen verrijken met meer context die snelle respons en herstel mogelijk maken (filter op fout-positieven, verhoogde werkelijke positieven, ga zo maar door), maar verzameling is geen detectie. Als u geen redelijke verwachting hebt dat de gegevens waarde bieden (bijvoorbeeld als een groot aantal firewallgebeurtenissen wordt geblokkeerd), kunt u de prioriteit van de integratie van deze gebeurtenissen ' bepalen.