Γιατί η εστίαση σε απειλές πάνω από εργαλεία μπορεί να συρρικνώσει τη στοίβα ασφαλείας σας

Οι οργανισμοί δυσκολεύονται να απαντήσουν σε περίπλοκες ερωτήσεις σχετικά με την κυβερνοασφάλειά τους.

Ποια είναι τα κενά ελέγχου στη στρατηγική ασφαλείας τους; Πόσο καλά η στοίβα ασφαλείας και οι διαδικασίες τους εντοπίζουν αντιπάλους; Μπορούν να λειτουργήσουν ολοκληρωμένες πληροφορίες;

Συχνά, οι απαντήσεις σε αυτές τις ερωτήσεις είναι «όχι», λέει ο Nick Lantuh, Διευθύνων Σύμβουλος και συνιδρυτής της Interpres Security. Η εταιρεία ξεκίνησε σήμερα από το stealth με στόχο να βοηθήσει τους οργανισμούς να ελέγξουν το «ναι» σε τέτοιες ερωτήσεις.

Όπως σημείωσε ο Lantuh, οι οργανισμοί αγωνίζονται να αποκτήσουν μια πλήρη εικόνα της αμυντικής τους επιφάνειας επειδή υπάρχουν τόσα πολλά εξειδικευμένα εργαλεία στη στοίβα ασφαλείας τους. Αυτό μπορεί να δυσκολέψει την απόκτηση μιας ενοποιημένης άποψης για τη στάση ασφαλείας τους για την άμυνα έναντι απειλών με προτεραιότητα.

«Είναι καιρός για κάτι νέο», είπε ο Lantuh, η εταιρεία του οποίου προσφέρει εξατομικευμένη, συνεχή, ενημερωμένη από απειλές ανάλυση των δυνατοτήτων ανίχνευσης και μετριασμού ενός οργανισμού.

«Η τρέχουσα συμμόρφωση, η διαλογή ειδοποίησης και οι προσεγγίσεις που επικεντρώνονται στην ευπάθεια στον χώρο της κυβερνοασφάλειας δεν λειτουργούν», δήλωσε ο Lantuh. «Μια απειλοκεντρική προσέγγιση είναι η απάντηση».

Για την αντιμετώπιση του αυξανόμενου αριθμού απειλών για την ασφάλεια στον κυβερνοχώρο — και αντιμετωπίζοντας το γεγονός ότι το μέσο κόστος μιας παραβίασης δεδομένων βρίσκεται πλέον στο 4,35 εκατομμύρια δολάρια — οι οργανισμοί προσθέτουν όλο και περισσότερα εργαλεία στις στοίβες τεχνολογίας ασφαλείας τους.

Στην πραγματικότητα, οι ομάδες ασφαλείας από μεγάλες επιχειρήσεις έχουν τώρα έναν τεράστιο μέσο όρο 76 εργαλεία ασφαλείας στη θέση. Οι βάσεις δεδομένων βρίσκονται στην κορυφή της λίστας των στοιχείων στα οποία οι ηγέτες ασφαλείας έχουν τη λιγότερη ορατότητα.

Ως αποτέλεσμα, πολλοί ηγέτες ασφαλείας τυφλώνονται από γεγονότα ασφαλείας, περιστατικά ή παραβιάσεις που απέφευγαν έναν έλεγχο που πίστευαν ότι υπήρχε. Επιπλέον, οι ομάδες ασφαλείας αφιερώνουν περισσότερο από το ήμισυ του χρόνου τους για τη μη αυτόματη παραγωγή αναφορών.

«Υπάρχουν πολλές ραφές και κενά μεταξύ των προϊόντων ασφαλείας που εκμεταλλεύονται οι προηγμένοι αντίπαλοι», είπε ο Lantuh. «Η βιομηχανία από προεπιλογή δεν ξεκινά με την απειλή, η οποία είναι πιο διαχειρίσιμη».

Ανίχνευση και πλήρωση κενών

Η ιδρυτική ομάδα της Interpres ανέπτυξε αυτό που αποκαλεί μια νέα «μεθοδολογία με επίκεντρο τις απειλές» αφού αντιμετώπισε από πρώτο χέρι μια παραβίαση συστημάτων ενώ εργαζόταν σε ένα διαβαθμισμένο κέντρο επιχειρήσεων ασφαλείας.

«Έχουμε γνώση από πρώτο χέρι για το πόσο δύσκολο είναι να κατανοήσουμε ολιστικά πώς λειτουργούσε (ή όχι) κάθε εργαλείο ασφαλείας, την εντατική χειροκίνητη προσπάθεια εντοπισμού κενών στα χειριστήρια και την επακόλουθη μηχανική ανίχνευσης για να λειτουργήσει», δήλωσε ο Lantuh.

Κατά την αυτοματοποίηση ενός εργαλείου για την αντιμετώπιση αυτού του προβλήματος, η ομάδα απέκτησε μια ολιστική άποψη και μια αληθινή κατανόηση του πώς λειτουργούσε πραγματικά η στοίβα ασφαλείας, είπε. Με αυτόν τον τρόπο, μετριάστηκαν και απέκλεισαν με επιτυχία έναν από τους καλύτερους κόκκινες ομάδες στον κόσμο, καθώς και πολυάριθμες προηγμένες επίμονες απειλές (APT).

Αυτή ήταν η γένεση της Interpres, η οποία ενσωματώνει το πλαίσιο MITER ATT&CK και πληροφορίες από την CISA, το FBI, την NSA και άλλους.

Αυτή η μέθοδος που βασίζεται στην απειλή παρουσιάζει το προφίλ των παραγόντων που στοχεύουν έναν οργανισμό, τους επιχειρησιακούς τους στόχους, τον τρόπο με τον οποίο θα ενεργήσουν — και μόλις εισέλθουν, τι μπορούν να κάνουν στη συνέχεια, είπε ο Lantuh.

Στη συνέχεια, η πλατφόρμα συνιστά τους μετριασμούς, τις στρατηγικές συλλογής τηλεμετρίας και τη λογική ανίχνευσης που ταιριάζουν καλύτερα για την κάλυψη των κενών στην κάλυψη.

Οι αντίπαλοι μπορούν να κάνουν οτιδήποτε;

Όπως σημείωσε ο Lantuh, όλοι οι οργανισμοί αγωνίζονται με τη στάση και τη στρατηγική ασφαλείας τους.

«Πιστεύουμε ότι αυτό ανάγεται στην πεποίθηση ότι οι αντίπαλοι μπορούν να κάνουν τα πάντα και ότι πρέπει να προστατευτείς από τα πάντα», είπε.

Αλλά, αυτό πραγματικά δεν είναι αλήθεια. Οι εταιρείες αντιδρούν, αγοράζουν προϊόντα για να αντιμετωπίσουν μεμονωμένες απειλές, αντί να επενδύουν προληπτικά σε μια στρατηγική ενημερωμένη από απειλές, είπε.

«Οι λύσεις ασφαλείας επικεντρώνονται στην προσπάθεια διαχείρισης ενός άπειρου αριθμού τρωτών σημείων ή στην προσπάθεια διαλογής εκατομμυρίων θορυβωδών ειδοποιήσεων», δήλωσε ο Lantuh.

Στο σύνολό της, η κοινότητα της κυβερνοασφάλειας πρέπει να απομακρυνθεί από μια τέτοια προσέγγιση που βασίζεται στον κίνδυνο. Συγκεκριμένα, η έρευνα από ειδικούς και οντότητες σε εθνικό επίπεδο μπορεί να βοηθήσει τη βιομηχανία να βελτιστοποιήσει τη στρατηγική σε αντίθεση με το να κλείνει απλώς τρύπες, είπε.

«Πρέπει να χρησιμοποιήσουμε τα σχέδια εκστρατείας που παρέχει η κυβέρνηση για να βελτιώσουμε τον στόχο μας και να καθοδηγήσουμε τις άμυνές μας», είπε ο Λαντούχ.

Αυτό επιτρέπει τη λήψη αποφάσεων βάσει δεδομένων «όπου γνωρίζουμε τον εχθρό μας και γνωρίζουμε τον εαυτό μας», είπε ο Lantuh.

Συνέκρινε τη βιομηχανία με άλλα μοντέλα που βασίζονται σε απειλές, συμπεριλαμβανομένης της ασφάλισης. «Μόνο στον κυβερνοχώρο έχουμε αποφασίσει ότι ο αντίπαλος είναι παντοδύναμος και γνωρίζει τα πάντα, κάτι που απαιτεί υπερβολικές επενδύσεις για άμυνα και είναι απλώς μη βιώσιμο», είπε.

Όχι άλλη τυφλή εμπιστοσύνη

Το Interpres ενσωματώνεται με τα υπάρχοντα εργαλεία κυβερνοασφάλειας και διαθέτει έναν πίνακα εργαλείων επίγνωσης της κατάστασης που ανιχνεύει μετατόπιση στη διαμόρφωση και αλλαγές στη στάση του κινδύνου, ενώ προσφέρει επίσης λεπτομερείς αναφορές σε επίπεδο πίνακα.

Αυτό σημαίνει ότι οι οργανισμοί δεν χρειάζεται να «εμπιστεύονται τυφλά» τους προμηθευτές προϊόντων και υπηρεσιών ασφαλείας τους, είπε ο Lantuh. Αυτό τους ελευθερώνει στη συνέχεια ώστε να επικεντρωθούν στις περιοχές όπου μπορεί να είναι πιο ευάλωτοι.

Η εταιρεία κατασκευάζει πρώτα αυτό που αποκαλεί «συνεχή γραμμή άμυνας ενημερωμένη από απειλές» χρησιμοποιώντας κατοχυρωμένα αναλυτικά στοιχεία. Στη συνέχεια, η πλατφόρμα δίνει προτεραιότητα και προσαρμόζει τις αμυντικές ενέργειες ενάντια σε κακόβουλο λογισμικό και ομάδες αντιπάλου. Στη συνέχεια, παρέχει επίγνωση αμυντικής στάσης σε πραγματικό χρόνο, παρακολουθώντας και ειδοποιώντας για αλλαγές στη στάση ασφαλείας και πραγματοποιώντας ανάλυση «τι θα γινόταν αν» σε γεγονότα διακοπής.

Ευρεία ορατότητα

Για παράδειγμα, η Interpres έχει συνεργαστεί με οργανισμούς που έχουν παραβιαστεί λόγω μη βελτιστοποιημένων και αλληλοεπικαλυπτόμενων εργαλείων, μετατόπισης διαμόρφωσης, έλλειψης ορατότητας και αδυναμίας εφαρμογής της κατάλληλης λογικής ανίχνευσης. Ένας πελάτης είχε λάβει πρόσφατα πιστοποίηση κέντρου λειτουργιών ασφαλείας (SOC), αλλά παραβιάστηκε από μια κόκκινη ομάδα λίγο αργότερα.

Η Interpres έδειξε πού είχαν εγκατασταθεί λανθάνουσες δυνατότητες, βελτιστοποίησε τη μηχανική ανίχνευσης-λογικής μηχανικής και επεσήμανε πού οι δυνατότητες παρείχαν χαμηλότερη απόδοση επένδυσης, εξήγησε ο Lantuh. Τους επόμενους μήνες, ο οργανισμός υπερασπίστηκε με επιτυχία το δίκτυό του έναντι δύο επιπλέον αξιολογήσεων κόκκινων ομάδων και πολλαπλών APT.

Σε μια άλλη περίπτωση, η Interpres διεξήγαγε μια αυτοματοποιημένη ανάλυση ενός περιβάλλοντος πελατών. Μέσα σε 60 λεπτά, διέγνωσαν τους 10 κορυφαίους πιθανούς επιτιθέμενους, τις προτιμώμενες τεχνικές, τις τακτικές και τις διαδικασίες του πελάτη και στη συνέχεια συνέκριναν αυτές με τη στοίβα ασφαλείας του πελάτη. Εντόπισαν πολλές λογικές ροές ανίχνευσης που δεν ήταν ενεργοποιημένες, πολλαπλές υπογραφές ανίχνευσης που είχαν εσφαλμένη διαμόρφωση και έλλειψη λογικής ανίχνευσης, είπε ο Lantuh.

Στη συνέχεια δόθηκε προτεραιότητα στην ενεργοποίηση, τη διαμόρφωση και την αυτοματοποίηση της μηχανικής ασφάλειας και η Interpres παρείχε αυτοματοποιημένη μηχανική ασφάλειας στη λογική ανίχνευσης για να ελευθερώσει πόρους που θα χρησιμοποιηθούν σε άλλες δραστηριότητες υψηλής αξίας.

Συρρίκνωση της στοίβας

Η Interpres ανακοίνωσε επίσης σήμερα έναν γύρο χρηματοδότησης 8,5 εκατομμυρίων δολαρίων με επικεφαλής την Ten Eleven Ventures. Όπως σχολίασε ο Mark Hatfield, γενικός συνεργάτης της Ten Eleven Ventures: «Βλέπουμε τους CISO να αγωνίζονται τακτικά για να βρουν ποια εργαλεία ασφαλείας είναι πιο αποτελεσματικά για τις συγκεκριμένες ανάγκες του οργανισμού τους».

Ως εκ τούτου, θέλουν να ζητήσουν από τους πωλητές υπεύθυνους για όσα έχουν υποσχεθεί, είπε: Για να καταλάβουν πόσο καλά αντέχουν τα εργαλεία τους στις απειλές που είναι πιο πιθανό να αντιμετωπίσουν.

Η πλατφόρμα της Interpres επιτρέπει στους οργανισμούς να «συρρικνώσουν τη στοίβα», είπε η Hatfield, και «να αξιοποιήσουν στο έπακρο τις υπάρχουσες επενδύσεις τους στον κυβερνοχώρο, να κατανοήσουν πού βρίσκονται και πού δεν προστατεύονται, να εξορθολογίσουν τις επενδύσεις προϊόντων και να σκληρύνουν τις άμυνές τους».