Come fermare un attacco in pochi minuti
Molti attaccanti sono abbastanza esperti da raggiungere i loro obiettivi in pochi minuti. Come possono essere fermati gli attacchi di questa natura prima del completamento?
Rilevare, rispondere e contenere un attacco in corso richiede preparazione in tre aree chiave:
1. Velocità
2. Visibilità
3. Esperienza
Come raggiungere l’eccellenza in queste aree?
1. Velocità
La velocità di risposta deriva dall’avere a disposizione gli strumenti necessari per consentire a chi deve rispondere di muoversi più velocemente dell’attaccante.
Questi strumenti possono comprendere alcune aree:
Comunicazione
Le tue persone come comunicheranno durante un incidente? Man mano che si sviluppa un incidente, potresti non capire subito cosa è successo. Può darsi che la tua infrastruttura di comunicazione sia stata compromessa o sia a rischio. Pertanto, è fondamentale considerare in anticipo quali altre opzioni di comunicazione saranno disponibili come back-up. Ci sono pro e contro per le diverse opzioni in-band e out-of-band – vale la pena considerare quali di queste soddisferanno al meglio le esigenze della tua azienda.
Chi sta facendo cosa?
Durante un incidente, è necessaria la giusta leadership per consentire una risposta rapida. Non si tratta solo di individuare uno o più soggetti, ma di collocare queste responsabilità in molte aree diverse del business. È inoltre necessario avere dei “sostituti” competenti per non dipendere da persone che potrebbero essere in vacanza o non disponibili. Ma molti incidenti sono rallentati dalla mancanza di comprensione e chiarezza su chi è il responsabile che se ne deve occupare. Decidi tutto questo molto prima di un incidente, in modo che non ci siano impedimenti nel processo.
Come si svolgerà?
Un playbook per la risposta agli incidenti è fondamentale. Significa che nessuno dovrà mai mettere in discussione chi farà cosa, indipendentemente da come si svolge uno scenario. Questo è fondamentale per la velocità di risposta.
2. Visibilità
Copertura
Gli strumenti che consentono la velocità devono essere utilizzati in tutta l’azienda, con una copertura del 100% se possibile. Eventuali asset non coperti sono potenziali luoghi in cui possono risiedere gli attaccanti.
Per ottenere il tipo di copertura che consente una risposta rapida si inizia quasi sempre con l’endpoint. È qui che prende il via la maggior parte degli attacchi informatici dei giorni nostri. Un agente di rilevamento degli endpoint che offre visibilità e controllo su più endpoint è fondamentale.
Logging
È necessario considerare: qual è la quantità appropriata di log dei tuoi asset per consentire agli investigatori forensi di trovare le informazioni corrette? Questo comprende fonti di dati volatili, come la RAM, ma in particolare i log DNS; molte famiglie di malware diversi fanno ancora affidamento sul DNS per convalidare una comunicazione iniziale. Se non si ha la possibilità di rintracciare la query DNS dai log del gateway all’host che ne era responsabile, questo può ritardare le attività di risposta.
Anche il logging non si ferma qui. Ogni tipo di log – dal firewall all’Active Directory, dal Web Proxy all’antivirus – aggiunge valore in modi diversi e offre maggiori opportunità per ottenere informazioni dettagliate.
Gestire ed estendere la copertura
Gli ambienti in cui lavoriamo sono volatili. Il panorama delle minacce cambia, subentra nuovo personale e nuove risorse e software vengono implementati – a volte – anche ogni ora. Le organizzazioni devono essere consapevoli di questo incessante aumento della superficie di attacco e inserire le pratiche di visibilità nel loro modello operativo standard. Ciò garantisce che gli endpoint siano costantemente coperti, siano essi nuovi, esistenti o legacy.
Perché questo è importante?
Se si dispone di una configurazione complessa del gateway, possono essere necessarie molte ore per implementare le modifiche. Mentre questo va bene durante il business-as-usual, può essere problematico in uno scenario di risposta in tempo reale. Pensare a queste cose in anticipo e pianificare in modo appropriato aiuta a rispondere in pochi minuti.
3. Esperienza
Se dovessimo mettere due organizzazioni l’una contro l’altra con gli stessi strumenti e livello di investimento nella sicurezza, il fattore di differenziazione sarebbero le persone. Persone in gamba con le giuste competenze e la mentalità corretta consentono una risposta rapida ed efficiente nei momenti in cui lo stress può essere elevato e lo scenario può essere incerto. Non si tratta solo della capacità di interrogare endpoint e altri repository di dati; si tratta di interpretare quei dati e prendere le giuste decisioni in base alle prove disponibili.
Determinare l’ownership delle diverse aree della tua organizzazione è fondamentale. Ciò significa sapere quale persona contattare quando hai bisogno di approfondimenti su specifici asset e aree dell’organizzazione – anche alle due del mattino.
Formazione
I dipendenti di ogni livello avranno bisogno di formazione su cosa fare quando sei sotto attacco. Alcuni avranno bisogno di più di altri. Coloro che sono in prima linea nella difesa – i tuoi “primi soccorritori” – avranno bisogno di una formazione più regolare. Considera chi nella tua organizzazione farà parte del team chiave di risposta e prenditi il tempo necessario per condurre esercizi a tavolino e simulare attacchi in modo che tutti siano ben preparati nei loro ruoli.
Il 10% di prontezza è meglio della mancanza di prontezza
La prontezza tocca numerosi aspetti e la maggior parte delle organizzazioni non è perfetta.
Tuttavia, se fai chiarezza su “chi” è l’owner di “cosa”, qual è la copertura dei tuoi asset più importanti per il business e quali sono i set di strumenti per il rilevamento e la risposta, allora sei sulla buona strada per assicurarti di essere pronto a fermare un attacco in pochi minuti.
Categorie