Tahun Baru, Ancaman Baru: 4 Tips Mengaktifkan Cyber-Defense Terbaik Anda

Saat kita memasuki tahun baru yang penuh ketidakpastian, satu hal yang tetap benar bagi praktisi keamanan siber: Anda memiliki keunggulan strategis atas musuh. Mungkin terdengar jelas untuk dikatakan, tetapi mereka meluncurkan serangan terhadap Anda, di dalam lingkungan Anda, yang Anda kendalikan – memberi Anda keuntungan sebagai pembela fundamental. Teori

In.

Sayangnya, organisasi sering kesulitan untuk memanfaatkan keuntungan mendasar ini. Jadi di bawah ini, terinspirasi oleh buku Mandiant yang pertama kali diterbitkan, The Defender’s Advantage, adalah empat ide untuk memulai aktivasi pertahanan siber untuk mendapatkan keuntungan terbesar untuk keamanan Anda – pada tahun 2022, dan seterusnya.

Buat Profil Ancaman Cyber ​​Anda

“Profil ancaman siber bisa dibilang dokumen paling penting untuk program intelijen siber. Dan sebagian besar program tidak memilikinya atau tidak menggunakannya untuk menjalankan operasinya.”

– Andrew Close, Konsultan Utama, Pengembangan Kemampuan Intelijen, Mandiant

Salah satu langkah paling berharga yang dapat diambil organisasi adalah membangun ancaman dunia maya profile, yang merupakan pandangan mendalam tentang musuh, kerentanan, dan risiko organisasi Anda. Pembuatan profil ancaman siber harus didasarkan pada kecerdasan dan uji tuntas (bukan berita utama) dan harus digunakan untuk mendorong tindakan bagi fungsi pertahanan siber lainnya.

Profil ancaman siber idealnya memeriksa kombinasi tiga faktor utama: lanskap ancaman, profil organisasi Anda, serta analisis risiko dan dampak.

Informasi lanskap ancaman yang dilapisi dengan profil organisasi terperinci dapat memberikan informasi tentang pelaku ancaman aktif yang saat ini meluncurkan kampanye serangan pada organisasi seperti milik Anda. Profil harus mencakup informasi tentang permukaan serangan Anda, apa yang mungkin dicari penyerang (data atau akun paling berharga), dan kerentanan yang diketahui bersama dengan status patching. Untuk melakukan ini, Anda mungkin perlu meningkatkan visibilitas yang Anda miliki ke lingkungan Anda.

Bagian terakhir dari tiga serangkai ini adalah memahami risiko dan dampak serangan terhadap bisnis. Tidak semua pelanggaran dibuat sama, dan analisis risiko yang jujur ​​dapat membantu memfokuskan sumber daya pada aktivitas yang paling penting.

Atur Lingkungan & Operasi Anda untuk Pertempuran

Ada enam fungsi penting pertahanan siber: intel, komando dan kontrol, perburuan, deteksi, respons, dan mengesahkan. Dengan profil ancaman siber Anda di tangan, Anda dapat menggunakannya untuk menentukan prioritas Anda dan tidak hanya mempersiapkan pertahanan siber ini, tetapi juga memajukannya ke tugas aktif. Masing-masing dari enam harus ditetapkan dan diaktifkan berdasarkan profil ancaman cyber spesifik Anda.

Pertimbangan:3hh

<

ul>

  • Optimalkan kontrol keamanan dan pastikan kontrol tersebut dikonfigurasi di lokasi yang benar untuk visibilitas dan tindakan. Profil ancaman dunia maya (intel) akan menentukan permata mahkota organisasi Anda. Arsitektur keamanan kemudian harus dirancang untuk melihat semua interaksi dengan aset permata mahkota ini dan memungkinkan organisasi keamanan untuk merespons ancaman.liu

    <

    ul>iBerburu kompromi aktif atau sebelumnya berdasarkan kecerdasan dan pengetahuan terkini tentang lingkungan Anda. Ini membutuhkan komunikasi yang erat antara fungsi intelijen dan perburuan dalam organisasi pertahanan siber. Jika kompromi terdeteksi, maka handoff yang telah ditentukan sebelumnya dengan fungsi respons akan mempercepat penyelidikan dan memungkinkan pemulihan yang lebih cepat.liu

    <

    ul>iBerkomunikasi secara efektif sebelum, selama dan setelah pelanggaran melalui fungsi perintah dan kontrol yang akan mengatur tindakan dan komunikasi pertahanan dunia maya baik internal dan eksternal organisasi keamanan.liu

      iPastikan untuk memvalidasi kemampuan Anda (lihat di bawah).

    Bor, Bor, Bor untuk Memvalidasi Kemampuan

    “Jika kontrol dan proses Anda tidak berfungsi, Anda ingin tahu sebelum musuh melakukannya.”
    – Lynn Harrington, Mandiant

    Komponen utama untuk mengaktifkan pertahanan siber Anda adalah memastikan bahwa pekerjaan (dan investasi) yang telah Anda masukkan ke dalam teknologi, proses, dan staf membuahkan hasil. Untuk melakukan ini, Anda perlu terus memvalidasi efektivitas kontrol dan operasi.

    Menggunakan profil ancaman cyber sebagai panduan, Anda dapat menguji kemampuan Anda terhadap ancaman aktif terhadap organisasi Anda. Ini termasuk ancaman eksternal dan internal dan dapat divalidasi melalui perkakas otomatis, pengujian penetrasi, atau latihan pelanggaran simulasi jarak-siber.

    Aktivitas lain yang tak ternilai untuk dilakukan secara rutin adalah latihan di atas meja. Latihan ini harus mencakup berbagai skenario serangan termasuk, namun tidak terbatas pada, ransomware, eksfiltrasi data, dan ancaman orang dalam.

    Latihan di atas meja harus diadakan secara rutin sepanjang tahun dengan kelompok eksekutif dan teknis. Nilai dari latihan ini adalah untuk mempraktekkan prosedur respons insiden sehingga jika (atau lebih tepatnya, ketika) “hari terburuk” tiba, organisasi Anda dapat memberikan respons yang cepat dan terukur. Aspek penting dari latihan ini adalah untuk mengidentifikasi dan mempraktikkan komunikasi dengan kelompok di luar fungsi keamanan TI. Ini dapat mencakup penasihat hukum, penyedia asuransi, fungsi TI, dan komunikasi dewan.

    Contoh bagus tentang perlunya berkolaborasi dengan grup di luar fungsi keamanan TI adalah saat memetakan acara penyetelan ulang sandi massal. Ini sering diperlukan setelah pelanggaran dan harus dikoordinasikan secara ketat dengan organisasi TI. Beberapa pertanyaan yang harus diselesaikan: Apakah acara penyetelan ulang sandi massal dapat dilakukan? Apa yang terlibat dalam perencanaan dan berapa lama waktu yang dibutuhkan untuk mengeksekusi? Aktivitas apa yang perlu dilakukan di sisi TI dan keamanan untuk memastikannya berhasil, dan aktivitas itu hanya perlu dilakukan sekali untuk mengurangi ancaman sepenuhnya?

    Latihan di atas meja yang digabungkan dengan validasi kontrol akan memungkinkan Anda untuk menutup kerentanan di sistem Anda dan operasi untuk mencegah atau meminimalkan dampak peristiwa pelanggaran.

    Ketahui Kemampuan Anda

    Kabar baiknya adalah membangun dan mengaktifkan pertahanan siber Anda tidak harus terjadi dalam semalam (meskipun, lebih cepat lebih baik.) Mulailah dengan membuat profil ancaman siber ; itu, validasi kontrol dan operasi yang ada, dan tujuan bisnis kemudian akan memandu bagaimana Anda membangun kemampuan Anda dari sana.

    Mungkin mahal untuk memperoleh keahlian yang diperlukan untuk menopang setiap fungsi, jadi mengaktifkan pertahanan cyber Anda dapat mencakup mengidentifikasi peluang untuk tingkatkan keahlian dalam organisasi pertahanan siber Anda melalui kemitraan, alih daya, dan layanan terkelola, jika diperlukan.

    Ingat, hal itu mungkin tidak terjadi dalam semalam, tetapi keuntungan pembela dapat dicapai – dengan pendekatan berbasis intelijen, memahami fungsi penting pertahanan siber dan komitmen untuk perbaikan terus-menerus.

    Kerry Matre adalah direktur senior di Mandiant.

    Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi microsite kami.
    Tulis komentar
    Bagikan artikel ini:

  • Breachliu

    <

    ul>iCloud Securityliu

    <

    ul>iVu

    <

    ul>iInfrastruktur Pentingliu

    <

    ul>iInfoSecInfoSec itiesliu

      iKeamanan Web