Strony

2016-12-28

Intelligence: Wymagania II

Zaczynamy II część (I część dostępna jest - tutaj) wprowadzenia do wymagań względem Threat Intelligence i dlaczego nie jest za wcześnie na to podejście.


  • Nie masz narzędzi do głębszej analizy zdarzeń, a to oznacza, że wszystko przed Tobą. Część organizacji posiada już pokaźną grupę narzędzi/systemów, ale brak pomysłu, a często czasu, jak je właściwie wykorzystać. Opis wcześniej omawianych TTP oraz IOA/IOC prawdziwych kampanii APT powinno pozwolić Ci określić jakich narzędzi potrzebujesz. Do grup narzędzi, na których warto zawiesić oko należą takie, które potrafią:
    • efektywnie gromadzić i analizować flowy sieciowe
    • nagrywać i analizować pełny zrzut ruchu sieciowego lub jego ekstrakt
    • zapewniają możliwość sięgania do pamięci procesów serwerów/stacji
    • dają możliwość odpytania serwerów/stacji o dany plik/proces/połączenie/itd.

  • Nie masz wpływu na architekturę bezpieczeństwa w firmie, bo (tutaj masa dogmatów/mitów panujących w organizacji) - nic straconego. Opis ataków na Twoich sąsiadów w sektorze może pokazać, że nie wiadomo ile dokładnie będziesz jeszcze "zieloną wyspą", której nie dotknął skuteczny atak. Projektując/modyfikując architekturę bezpieczeństwa w firmie musisz zawsze sprawdzić czy nie oślepiasz obrońców. Jesteś pewna/pewny, że nie oślepiasz? Rekomendacje wynikające z syntezy kampanii APT mogą wskazać jak wykorzystać szanse, które już daje architektura (np. jeśli nie masz routingu ze stacji roboczych do Internetu, bo połączenie idzie przez proxy, zastanów się jak możesz to wykorzystać). Masz szansę dokonać ewaluacji swojej architektury względem prawdziwych ataków.

  • Nie wiesz jak skuteczna jest Twoja prewencja - zgodność ze standardami/regulacjami to za mało - serio. Zastanów się czy znasz odpowiedzi na takie pytania:
    • jaka część ataków została całkowicie powstrzymana przez systemy prewencyjne?
    • jaka część ataków, które mnie nie dotknęły, została by odparta przez Twoje systemy?
    • przeprowadzasz testowe kampanie Red Teamowe?
    • czy Red Team spotkał się z aktywny oporem po stronie Blue Team - jeśli nie to czy to nie byłoby wskazane?
Opis TTP z kampanii może “na sucho”, szybciej i w sposób bardziej kompletny niż działania Red Teamowe, pozwolić skonfrontować Twoje systemy prewencyjne.

Do zobaczenia w części III na początku roku 2017.

Brak komentarzy:

Publikowanie komentarza