Чому зосередження на загрозах, а не на інструментах може зменшити стек безпеки

Ознайомтеся із сесіями за запитом на саміті Low-Code/No-Code Summit, щоб дізнатися, як успішно впроваджувати інновації та досягати ефективності шляхом підвищення кваліфікації та масштабування громадянських розробників. Дивитися зараз.


Організаціям важко знайти відповіді на складні запитання про свою кібербезпеку.

Які прогалини контролю в їхній стратегії безпеки? Наскільки добре їх стек безпеки та процеси виявляють зловмисників? Чи можуть вони операціоналізувати готову розвідку?

Часто відповіді на ці запитання «ні», — каже Нік Лантух, генеральний директор і співзасновник Interpres Security. Сьогодні компанія перейшла зі стелс-версії, щоб допомогти організаціям відповісти «так» на такі запитання.

Як зауважив Лантух, організаціям важко отримати повне уявлення про свою оборонну поверхню, оскільки в їхній системі безпеки так багато спеціалізованих інструментів. Це може ускладнити отримання єдиного уявлення про стан безпеки для захисту від пріоритетних загроз.

Подія

Саміт інтелектуальної безпеки

8 грудня дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Зареєструйтеся, щоб отримати безкоштовний пропуск сьогодні.

Зареєструватися зараз

«Настав час для чогось нового», — сказав Лантух, чия компанія пропонує персоналізований безперервний аналіз можливостей організації щодо виявлення та пом’якшення загроз.

«Поточний підхід до забезпечення відповідності, сортування попереджень і орієнтованих на вразливості підходів до простору кібербезпеки не працює», — сказав Лантух. «Підхід, орієнтований на загрози, — це відповідь».

Щоб протистояти зростаючій кількості загроз кібербезпеці — і зважаючи на те, що середня вартість витоку даних зараз становить 4,35 мільйона доларів — організації додають все більше інструментів до своїх наборів технологій безпеки.

Насправді команди безпеки з великих підприємств зараз мають колосальні середні показники з 76 інструментів безпеки. Бази даних очолюють список активів, до яких лідери безпеки мають найменше уваги.

Як наслідок, багато керівників служби безпеки залишаються вражені подіями, інцидентами або порушеннями системи безпеки, які уникли контролю, який, на їхню думку, існує. Крім того, служби безпеки витрачають більше половини свого часу на створення звітів вручну.

«Між продуктами безпеки існує багато швів і прогалин, якими користуються досвідчені зловмисники», — сказав Лантух. «Індустрія за замовчуванням не починається із загрози, яка є більш керованою».

Виявлення та заповнення прогалин

Команда засновників Interpres розробила те, що вона називає новою «методологією, орієнтованою на загрози», після того, як на власні очі зіткнулася зі зломом системи під час роботи в секретному центрі безпеки.

«Ми знаємо з перших вуст про те, як важко цілісно зрозуміти, як кожен інструмент безпеки працював разом (чи ні), інтенсивні зусилля вручну, щоб виявити прогалини в елементах керування та подальшу техніку виявлення, щоб змусити його працювати», — сказав Лантух.

За його словами, автоматизувавши інструмент для вирішення цієї проблеми, команда отримала цілісне уявлення та справжнє розуміння того, як насправді працює стек безпеки. Роблячи це, вони успішно пом’якшили та заблокували одну з найкращих червоних команд у світі, а також численні вдосконалені постійні загрози (APT).

Це був генезис Interpres, який об’єднує структуру MITRE ATT&CK і ідеї CISA, ФБР, АНБ та інших.

За словами Лантуха, цей метод, заснований на аналізі загроз, визначає гравців, які націлені на організацію, їхні оперативні цілі, те, як вони збираються діяти, а коли вони все-таки потраплять, що вони можуть робити далі.

Потім платформа рекомендує засоби пом’якшення, стратегії збору телеметричних даних і логіку виявлення, які найкраще підходять для заповнення прогалин у покритті.

Супротивники можуть зробити все?

Як зазначив Лантух, усі організації борються зі своєю позицією та стратегією безпеки.

«Ми вважаємо, що це сходить до переконання, що вороги можуть зробити все, і що ви повинні захищатися від усього», – сказав він.

Але це насправді неправда. За його словами, компанії активно реагують, купуючи продукти для протидії одноразовим загрозам, замість того, щоб активно інвестувати в стратегію з урахуванням загроз.

«Рішення безпеки зосереджені на спробі впоратися з нескінченною кількістю вразливостей або спробі відсортувати мільйони галасливих сповіщень», — сказав Лантух.

Загалом співтовариство кібербезпеки має відмовитися від такого підходу, заснованого на оцінці ризику. Примітно, що дослідження експертів і організацій на національному рівні можуть допомогти галузі оптимізувати стратегію, а не просто затикати діри, сказав він.

«Нам потрібно використовувати плани передвиборчої кампанії, надані урядом, щоб відточити нашу мету та спрямувати нашу оборону», — сказав Лантух.

Це дозволяє приймати рішення на основі даних, «якщо ми знаємо свого ворога та знаємо себе», — сказав Лантух.

Він порівняв цю галузь з іншими моделями, заснованими на загрозах, включаючи страхування. «Тільки в кібернетичному просторі ми вирішили, що супротивник є всемогутнім і всезнаючим, що вимагає надмірних інвестицій для захисту від нього, і це просто нежиттєздатно», — сказав він.

Більше ніякої сліпої довіри

Interpres інтегрується з існуючими інструментами кібербезпеки та має інформаційну панель ситуаційної обізнаності, яка виявляє дрейф у конфігурації та зміни рівня ризику, а також пропонує детальні звіти на рівні дошки.

Це означає, що організаціям не потрібно «сліпо довіряти» своїм постачальникам продуктів і послуг безпеки, сказав Лантух. Це звільняє їх, щоб зосередитися на сферах, де вони можуть бути найбільш вразливими.

Компанія спочатку створює те, що вона називає «безперервною базою захисту з інформацією про загрози», використовуючи запатентовану аналітику. Потім платформа визначає пріоритети та адаптує захисні дії проти зловмисного програмного забезпечення та груп противників. Потім він забезпечує обізнаність про оборонну позицію в режимі реального часу, відстежуючи та сповіщаючи про зміни в положенні безпеки та проводячи аналіз «що, якщо» у разі поломки.

Широка видимість

Наприклад, Interpres працював з організаціями, які були скомпрометовані через неоптимізовані та дублюючі інструменти, дрейф конфігурації, відсутність видимості та нездатність застосувати відповідну логіку виявлення. Один клієнт нещодавно отримав сертифікат центру безпеки (SOC), але невдовзі його зламала червона команда.

За словами Лантуха, Interpres продемонстрував, де в них встановлено приховані можливості, оптимізував свою логіку виявлення та вказав, де можливості забезпечують нижчу віддачу від інвестицій. Протягом наступних кількох місяців організація успішно захистила свою мережу від двох додаткових оцінок червоної команди та кількох APT.

В іншому випадку «Інтерпрес» провів автоматизований аналіз клієнтського середовища. Протягом 60 хвилин вони діагностували 10 найпопулярніших потенційних зловмисників клієнта, переважні методи, тактику та процедури, а потім порівняли їх зі стеком безпеки клієнта. Вони виявили кілька каналів логіки виявлення, які не були ввімкнені, кілька сигнатур виявлення, які були неправильно налаштовані, і відсутню логіку виявлення, сказав Лантух.

Увімкнення, конфігурація та автоматизація інженерії безпеки тоді були пріоритетними, і Interpres забезпечила автоматизовану інженерію безпеки в логіці виявлення, щоб звільнити ресурси для використання в інших важливих діях.

Скорочення стека

Інтерпрес також сьогодні оголосив про раунд фінансування у розмірі 8,5 мільйонів доларів, який очолює Ten Eleven Ventures. Як прокоментував Марк Хетфілд, генеральний партнер Ten Eleven Ventures: «Ми бачимо, як CISO регулярно намагаються визначити, які засоби безпеки найбільш ефективні для конкретних потреб їхньої організації».

Таким чином, вони хочуть притягнути постачальників до відповідальності за те, що вони обіцяли, сказав він: Щоб зрозуміти, наскільки добре їхні інструменти протистоять загрозам, з якими вони, швидше за все, зіткнуться.

Платформа Interpres дозволяє організаціям «зменшити стек», сказав Хетфілд, і «отримати максимальну віддачу від своїх існуючих інвестицій у кібербезпеку, зрозуміти, де вони захищені, а де ні, раціоналізувати інвестиції в продукти та зміцнити свій захист».

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment