IT-sikkerhet i dag er ikke om å forsvare en (ikke-eksisterende) omkrets, men om å beskytte organisasjonens angrepsflaten, noe som har endret seg dramatisk på grunn av skyen, mobilitet, BYOD, og andre fremskritt i bedriftens databehandling som har forårsaket fundamentale endringer i nettverksarkitektur og operasjoner.
Praktisk sett betyr det at du trenger å overvåke hva som skjer på innsiden av brannmuren like mye (hvis ikke mer) enn det som er utenfor prøver å gjøre sin vei i. Tenk på det som et innlegg brudd tankesett basert på en "1000 lyspunkter" modellen i motsetning til en "vollgrav og slottet" modell av forsvar.
I teorien sin evolusjonære, men gitt den akselererende tempo der sikkerhetsorganisasjoner har modnet, er det ikke nødvendigvis en enkel overgang for å gjøre. Ikke bare har den trusselen landskapet endret seg, men det har vært konstant forandring i ledelse, kompetanse, verktøy og budsjett som kreves.
Som et resultat, selv i avanserte butikker, perimeter-baserte forsvars praksis fortsatt somle. Praksis basert på feilaktig tenkning eller misoppfatninger, som hvis venstre ukontrollert, hindrer rask påvisning og respons. Her er noen av de vi ser mest:
* Fiksering på penetrasjon forebygging. Løsning: Skift til en "Allerede kompromittert" tenkemåte. Med Apts mer fremtredende enn noen gang, er det ikke lenger om hvis du blir brutt, men når. Du bør utvikle din sikkerhet forsvar deretter. I stedet for å fokusere på å hindre inntrengning, fokusere på motstandere aktiviteten som skjer i nettverket. Den gode nyheten er at du har en fordel; mesteparten av skaden er vanligvis gjort flere måneder etter penetrasjon. Hackere har en tendens til å distribuere lav og treg "teknikker og utføre minimal handlinger per dag for å unngå å bli oppdaget, bedre forstå organisasjonen og lage en idiotsikker veikart for å nå sitt sanne mål.
* Akseptere enkle forklaringer. Løsning: Alltid grave dypere. Sikkerhetshendelser er ikke forårsaket av feil eller ulykke. Hver bit av bevis bør over analysert og onde hensikter må alltid vurderes. Fordi sikkerhetsteam ikke kan vite alle motstandere aktiviteter, på en måte er de en ulempe; Derfor er det avgjørende for lagene til over-undersøke hva de kan se for å avdekke andre ukjente og uoppdagede forbindelseselementer. Sikkerhets team må alltid anta at de bare se halve bildet, jobber hardt med å avdekke resten av bitene i puslespillet.
* Ønske om rask utbedring. Løsning: Utnytt kjent. I stedet for å utbedre isolerte hendelser så fort som mulig, bør sikkerhetsteamet nøye overvåke kjent for å forstå hvordan den kobles til andre elementer i miljøet, og forsøker å avsløre det ukjente. For eksempel kan en ukjent skadelig prosess bli avslørt hvis den er koblet til det samme IP-adresse som oppdaget kjent skadelig prosess. Dessuten, når du avslører til hackere hvilke av deres verktøy er lett å oppdage, hackere kan med hensikt å distribuere, i overkant, til de kjente verktøy distrahere og avfall forsvarerens tid.
* Fokusering på malware. Løsning: Fokus på hele angrepet. Selv oppdage ondsinnet programvare er viktig, løsninger som i hovedsak fokuserer på å oppdage isolert aktivitet på enkeltpunktene ikke er i stand til å skikkelig bekjempe komplekse hacking operasjoner. I stedet benytter en mer helhetlig forsvar. Utnytt automatisering - analytics og trussel intelligens spesielt - for å få sammenheng i hele ondsinnet drift, i motsetning til bare koden. Husk at din motstander er en person og malware er en av deres mest kraftige verktøy, men en av mange i sine verktøysett.
* Letting falske alarmer få det beste av deg. Løsning: Automat etterforskning. Fordi mange sikkerhetsløsninger produsere en stor mengde sporadiske varsler (mange falske) med lite sammenheng, sikkerhets team tilbringe endeløse timer manuelt undersøke og validere varsler produsert av deres løsninger. Denne lange prosessen betydelig forlenger sikkerhets team fra adressering virkelige spørsmålet er det en cyber-angrep i gang? Her er et annet tilfelle hvor riktig bruk av automatisering kan dramatisk øke produktiviteten så vel som oppdagelse og responstid, noe som resulterer i mindre kostbare og skadelige angrep. Hvis det er budsjettmessige begrensninger som hindrer riktig bruk av automatisering for å hjelpe deg i denne prosessen, kvantifisere verdien investeringen du spør selskapet å gjøre.
Som mange aspekter av IT, bryter påvisning er en del kunst, del vitenskap. Men det som skiller en god analytiker fra en stor en er hvordan de tror.
Unngå disse misforståelsene aktivere sikkerhetsfunksjoner lagene å nærme seg brudd deteksjon mye mer strategisk og gjøre bedre bruk av ressursene til rådighet. Anmeldelser