Apabila kita membincangkan pengurusan risiko, pencegahan adalah strategi terbaik untuk mengelakkan kesan terhadap aset kita. Tetapi cegah; Ini adalah konsep luas yang terdiri dari beberapa mekanisme yang, bergantung pada keadaan, dapat meningkatkan biaya organisasi dengan cara yang tidak perlu dan tidak efektif.
Melaburkan sumber secara tidak proporsional yang cuba merangkumi semua aset syarikat, hanya akan menghasilkan proses yang tidak cekap dan mungkin diduplikasi dengan penggunaan sumber peribadi, kewangan dan sementara yang remeh.
Sebagai contoh; Ini bukan pertama kalinya organisasi yang kurang disarankan membuat pelaburan dalam peralatan canggih yang tidak dikonfigurasi dengan baik atau terkini, atau telah menyerahkan tugas keselamatan kepada pegawai yang berkemahiran rendah dengan peningkatan risiko.
Oleh itu, proses pengurusan risiko yang dilakukan dengan tidak betul boleh membuat kesalahan melaksanakan kawalan yang sama sekali tidak perlu atau secara tidak seimbang mengimbangi keberkesanan yang mesti dilaksanakan; dengan kenaikan kos yang berpunca dari penyelenggaraannya.
Oleh itu, bagaimana ia dapat dicegah tanpa menanggung perbelanjaan yang tidak seimbang, mencapai keberkesanan yang paling besar? Jelas, tidak ada resipi ajaib, tetapi jika anda mempunyai ruang lingkup yang ditentukan dengan jelas dan apakah fungsi penting perniagaan ini, anda mempunyai nasihat atau kakitangan yang berkelayakan; Kawalan dirancang berdasarkan analisis risiko berdasarkan metodologi yang terbukti dan proses dilaksanakan untuk memantau risiko dan menilai kawalan, mengesahkan bahawa mereka benar-benar cekap; risiko baki akan diminimumkan dan kesan yang berpotensi dalam organisasi dapat terletak dalam zon kawalan yang dibatasi.
IOC. Petunjuk Kompromi (IOC)
Mekanisme pencegahan yang sangat berkesan dan harganya sangat dapat diterima oleh organisasi mana pun adalah penggunaan Indikator Kompromi (IOC).
Ini adalah kaedah standard berdasarkan terutamanya dalam bahasa logam dan yang tujuan utamanya adalah pengenalan awal dan pengesanan ancaman yang berkaitan dengan keselamatan.
Keberkesanan indikator komitmen dijumpai dalam kemungkinan maklumat yang dikandungnya dapat dikemas kini pada bila-bila masa dan dapat dikongsi dan ditukar dengan cara yang sangat sederhana dengan mana-mana orang atau kumpulan yang berminat, seperti yang dikhaskan untuk pengurusan insiden keselamatan.
Petunjuk Kompromi, menggambarkan kita dari aktiviti jahat (termasuk unsur-unsur yang mengambil bahagian di dalamnya), hingga kejadian keselamatan melalui corak tingkah laku dan ciri-ciri yang dapat diukur dan dikategorikan.
Maklumat ini yang terkandung dalam IOC, memungkinkan untuk berkongsi tingkah laku kejadian yang dianalisis dari lokasinya sehingga kemas kini terakhir. Sebilangan besar pemboleh ubah dan sifat dapat dimasukkan melalui atribut yang kami anggap perlu untuk keterangannya.
Oleh itu, kita berhadapan dengan elemen yang membolehkan kita mengesan dan mengenal pasti ancaman terhadap keselamatan aset mana-mana organisasi terlebih dahulu.
Pada titik ini, di sinilah tokoh profesional keselamatan, dan terutama mereka yang berdedikasi untuk pengurusan risiko, memperoleh peranan penting kerana mereka akan bertanggungjawab untuk menyiapkan rancangan pencegahan terhadap insiden dan pengukuhan sistem. keselamatan. Untuk melakukan ini, anda mesti memahami aliran maklumat proses perniagaan kritikal dan pihak berkepentingan yang berkaitan, dengan itu mengenal pasti aset yang akan dilindungi.
Ini bukan lagi persoalan memproses maklumat dalam satu format atau yang lain berdasarkan pemboleh ubah yang telah ditentukan dan memperbaharuinya ketika kejadian berubah atau berkembang; sekarang ini adalah tentang bagaimana menafsirkan ancaman, kemungkinan ruang lingkup yang mungkin ada dalam organisasi, selain mempertimbangkan pergantungan antara sistem, proses perniagaan dan maklumat kritis dan konteks di mana kemungkinan kesan dapat terjadi. Sudah tiba masanya untuk menjangka dan mencadangkan kemungkinan penyelesaian kepada pengurus perniagaan. Terima kasih kepada analisis terperinci indikator-indikator ini dan penafsiran risiko yang betul oleh para profesional, lebih dari satu kali, kehadiran ancaman yang berpotensi telah dikesan dalam persekitaran dalaman dan dipercayai.Ini telah memungkinkan untuk menerapkan langkah-langkah pencegahan yang diperlukan untuk mengurangkan risiko ke tahap yang lebih daripada yang boleh diterima.
Ringkasnya, perkongsian maklumat melalui petunjuk ini bekerjasama dengan semua bidang syarikat yang berminat; ini adalah kaedah pencegahan yang berkesan untuk menghasilkan amaran awal yang membantu menjamin secara proaktif pengesanan dan pengurusan insiden, memperkuat tahap keselamatan aset kritikal terhadap ancaman yang ada.
Indikator Kompromi IOC Utama "Petunjuk Kompromi" (IOC).
Terdapat sebilangan besar Petunjuk Kompromi. Ada yang membuat penerangan mengenai aktiviti yang tidak biasa dalam sistem atau rangkaian, yang lain dapat didasarkan pada bukti yang diperoleh dari komputer yang dikompromikan. Sebagai contoh, kita dapat mempertimbangkan pengubahsuaian yang berlaku dalam aplikasi atau dalam entri daftar, perkhidmatan atau proses baru, dll.
Seperti yang dapat diserlahkan lebih kerap, penggunaan port oleh aplikasi yang tidak biasa, pengesanan lalu lintas yang tidak teratur, jumlah permintaan yang tinggi untuk mengakses aset yang sama, peningkatan permintaan yang tidak wajar ke pangkalan data atau aktiviti yang tidak wajar dalam akaun pengguna dengan keistimewaan. Terdapat yang lebih spesifik yang memerlukan profil teknikal yang lebih banyak untuk diproses, seperti tanda tangan virus yang berbeza, senarai hash yang berkaitan dengan aset perisian hasad, set IP yang dikesan dalam serangan yang disasarkan dan dalam kes botnet atau ransomware, nama domain atau URL pelayan perintah dan kawalan.
Pelaksanaan IOC
Hari ini, beberapa sistem standard untuk pertukaran Indikator Penglibatan wujud bersama. Hampir semua menggunakan bahasa logam XML, mengandungi parameter yang akan menentukan kemungkinan kompromi dan nilai yang diberikan dari segi kebarangkalian kejadiannya.
Antara yang terkenal ialah:
- OpenIOC (Open Indikator Kompromi) Oasis Cyber Threat Intelligence (CTI) Cybox (Cyber Observable eXpression) Maec (Penghitungan Atribut Malware dan Karakterisasi)
Terdapat juga repositori IOC seperti Bucket IOC atau Openioc Db; Platform percuma di mana anda dapat mencari petunjuk dan maklumat yang relevan mengenai ancaman yang dikongsi oleh komuniti pengguna yang luas dengan tujuan untuk menjadikannya penggunaan terbaik untuk perlindungan sistem kami.
Untuk penyebarannya, terdapat platform seperti MISP atau MANTIS yang bertanggungjawab untuk pengumpulan, penyimpanan dan pengedaran petunjuk keselamatan
kesimpulan
Pencegahan sebagai elemen perlindungan melalui IOC, meminimumkan pendedahan dari masa ke masa terhadap pengesanan dan tindak balas terhadap kemungkinan kejadian keselamatan; kedua-duanya menjadi faktor kritikal dalam prosedur pengurusan risiko.
Sejumlah besar maklumat yang diperlukan untuk mengesan potensi ancaman dan definisi tindakan seterusnya dan tindakan pencegahan, pembetulan atau pemulihan, memerlukan prosedur automatik yang membuat pengenalan kejadian mudah dan tangkas. Keperluan ini dipenuhi dengan IOC, dengan membiarkan suatu kejadian dimodelkan, dikategorikan berdasarkan pemboleh ubah yang berbeza, dan dikaitkan dengan kejadian tersebut.
Penjimatan relatif berbanding dengan kesan hentaman adalah penting dan penyelenggaraan dan pemantauannya melalui platform yang dijelaskan sangat dapat diterima oleh mana-mana organisasi.
____________________
Iker Sala Simón
Jabatan GRC
Keselamatan Maklumat Áudea
