کشف و پاسخگویی با سرعت تجارت


تیم کاندلو ، رهبر فناوری جهانی برای Siemplify ، در این جلسه سرگرم کننده و آموزنده اجلاس امنیت سایبری سال 2020 ، جزئیات نحوه شناسایی و پاسخگویی به تهدیدها را در سرعت تجارت ارائه می دهد.

فقط یکبار طول می کشد

مشاغل سخت کار می کنند – برخی بیشتر از دیگران – برای محافظت از خود در برابر تهدیدات ، اما واقعیت این است که تخلفات در حال رخ دادن است. هکر فقط یکبار باید موفق شود. پس از ورود ، مخالفان می توانند داده ها را ظرف چند دقیقه تا چند ساعت مصالحه و استرداد کنند ، در حالی که کشف و رفع این نقض روزها ، ماهها یا حتی سالها طول می کشد.

انتقال اهداف برای متخصصان امنیتی برای همسویی بهتر با مخالفان خود باید ستاره شمالی صنعت امنیت سایبری باشد. با این حساب ، صنعت با جدول زمانی “1 ، 10 ، 60” ارائه شد. یعنی یک دقیقه پیدا کنید ، 10 دقیقه مطالعه کنید و 60 دقیقه بردارید.

محیط های شبکه های شرکتی فقط گسترده تر و پیچیده تر می شوند. سپس تیم تعجب نکرد که 95٪ از پاسخ دهندگان در نظرسنجی تهدیدات سایبری SANS 2020 (CTI) می گوید که آنها حتی به اهداف 1 ، 10 ، 60 نزدیک نمی شوند. و با این حال او فکر نمی کند که هدف غیر واقعی باشد. “همچنان که ما فرآیندهای خود را تکرار می کنیم ، همچنان که به بررسی نحوه انجام کارها در مرکز عملیات امنیتی ادامه می دهیم ، فکر می کنم می توانیم به آنجا برسیم.”

مشکل

شناسایی مشکل اولین قدم در تعیین راه حل است. تیم چندین موانع موجود در برابر استراتژی مناسب امنیت سایبری را بیان می کند.

  • منحنی شیب دار آموزش برای کار در امنیت سایبری منجر به کمبود نیروی کار می شود. افراد کافی با مدرک مناسب برای این رشته فارغ التحصیل نمی شوند.
  • فقدان اتوماسیون ارکستراسیون وجود دارد که منجر به سیگنال های بیش از حد می شود. هیچ فروشنده ای راه حل جهانی ندارد. مشکلی که در این مورد وجود دارد این است که ارائه دهندگان متعددی که چندین سیگنال ارسال می کنند ، اطلاعات بیش از حد ایجاد می کنند.
  • راه حل های فروشنده بسته و بخشهای بسته شرکتها نیز تأخیری در توانایی درک و پاسخ به تهدیدهای سایبری ایجاد می کند.

راه حل

تیم یک راه حل پنج مرحله ای را برای افزایش سرعت باز کردن و پاسخگویی به سرعت تجارت بیان می کند. آن ها هستند:

  1. اتخاذ رویکرد تهدید محور
  2. فرآیند پاسخ خود را به روشنی تعریف کنید
  3. استفاده از اتوماسیون و ارکستراسیون
  4. همکاری و ارتباطات
  5. ردیابی و اندازه گیری

بسیاری از سیگنال ها از منابع مختلف مانند EDR ، IPS و دیگران است. آنها کوته بینی را نسبت به آنچه اتفاق می افتد ایجاد می کنند. یک هشدار خاص فقط یک قسمت از روند حریف را ارائه می دهد. در عوض ، تیم می گوید ، “آنچه شما باید بتوانید انجام دهید این است كه مطمئن شوید كه ابزارهای شما به راحتی برای تیم امنیتی شما قابل دسترسی است تا آنها بتوانند آنچه را كه در تمام محصولات شما می گذرد ببینند و بفهمند و آن را درک كنند.” این رویكرد تهدیدآمیز به اطمینان حاصل کنید که آنها زمینه را به آنچه در محیط شما اتفاق می افتد اضافه می کنند. علاوه بر این ، ما باید اطمینان حاصل کنیم که فرایندهای قابل تکرار و مقیاس پذیر را ایجاد می کنیم. “بهبود یک فرآیند ناقص به مراتب بهتر از نداشتن هیچ فرایندی است. ساختن و تعریف یک روند تهدید محور راه را برای استفاده از اتوماسیون و هماهنگی هموار می کند.

داده های بزرگ و سیلوهای داده بهتر است از طریق اتوماسیون استفاده شوند. سپس عنصر انسانی از این یافته ها تصمیم می گیرد. شرکت کنندگان تهدید به دلیل کند بودن مکان شناسایی و زمان پاسخ ، بانک را در اختیار شما قرار می دهند. با درک آنچه در محیط ماست و اتصال آن به یکدیگر از طریق اتوماسیون ، می توانیم به طور موثر و هوشمندانه به یافته های ابزار اتوماسیون پاسخ دهیم.

برنامه های ارتباطی در راه پاسخگویی به حوادث در بیشتر استراتژی های امنیت سایبری یافت می شود و این خوب است ، اما در مرکز امنیت عملیاتی کمبود ارتباط وجود دارد. ارتباطات داخلی شامل بستن چرخه مخرب درخواستهای مداوم برای کسب اطلاعات یا وضعیت است. در عوض ، برنامه ارتباطات اطمینان می دهد که اطلاعات در یک منطقه مشخص و قابل دسترسی قرار دارد که مدیریت ارشد و سایر بازیگران اصلی می توانند آن را به طور فعال بازیابی کنند.

علاوه بر این ، طرح ارتباطی معنای خاصی را برای کلمه پیوست می کند. “بحران” به معنای چیز خاصی است. هشدارها و تهدیدها برچسب گذاری و طبقه بندی می شوند. تعریف کلمات به این معنی است که همه می فهمند چه اتفاقی می افتد و می توانند واکنش کافی نشان دهند. این به تیم اجازه می دهد تا سریعتر عمل کند ، روانتر حرکت کند و از هر آنچه که در ادامه می آید جلو بیفتد.

سرانجام ، تیم نتیجه گرفت که تمام اقداماتی که در مرکز امنیتی انجام می شود باید اندازه گیری و پیگیری شود. همانطور که تیم می گوید ، “با ادامه تمرین ، با ادامه بررسی داده های گرفته شده در مرکز عملیات امنیتی خود ، می توانید دوباره این کار را انجام دهید. شما می توانید زمانی که هدف قرار می دهید را شناسایی کنید. همچنین می توانید موثرترین راه را برای این کار تعیین کنید. “

خلاصه کردن

تیم با یک جلسه طولانی با پرسش و پاسخ به س questionsالاتی از قبیل: “چند بار باید تمرینات اینترنتی را برای دسک تاپ انجام دهید تا مطمئن شوید زمان پاسخگویی و روند کار برای کسب و کار شما قابل قبول است؟” و “چه بستر امنیتی؟” از آن برای کشف تهدیدات سایبری استفاده می کنید؟ “در میان دیگران. تیم همچنین هرکسی را علاقه مند می کند که نسخه رایگان انجمن Siemplify را مشاهده کند تا به سازمان شما کمک کند از طریق پنج مرحله کار کند.

برای شنیدن توضیحات کامل تیم درباره این روش پنج مرحله ای و پرسش و پاسخ پس از ارائه ، تیم لطفاً به آن مراجعه کنید اجلاس امنیت سایبری دیجیتال صفحه را ثبت کنید ، و سپس پیوند ارسال شده به صندوق ورودی خود را دنبال کنید.



Related Posts

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *