Когда мы говорим об управлении рисками, предотвращение - лучшая стратегия, позволяющая избежать воздействия на наши активы. Но предотвратить; Это широкая концепция, состоящая из нескольких механизмов, которые, в зависимости от обстоятельств, могут увеличить расходы организации ненужным и неэффективным способом.
Непропорциональное инвестирование ресурсов, которые пытаются покрыть все активы компании, приведет только к неэффективным и, возможно, дублированным процессам с незначительным потреблением как личных, финансовых, так и временных ресурсов.
Например; Это не первый случай, когда плохо информированные организации вкладывают средства в современное оборудование, которое не было ни хорошо настроено, ни современное, или делегировали задачи безопасности низкоквалифицированному персоналу с последующим увеличением риска.
Следовательно, процесс управления рисками, который выполняется неправильно, может привести к ошибке, заключающейся в применении совершенно ненужных средств контроля, или негативно нарушить баланс эффективности тех, которые необходимо внедрить; с последующим увеличением затрат, связанных с его обслуживанием.
Как, таким образом, можно предотвратить, не неся непропорционально больших затрат, достигнув максимально возможной эффективности? Очевидно, что не существует волшебного рецепта, но если у вас есть четко определенный объем и каковы критические функции бизнеса, у вас есть совет или квалифицированный персонал; Средства контроля разрабатываются на основе анализа рисков, основанного на проверенной методологии, и внедряется процесс мониторинга рисков и оценки средств контроля, подтверждающих, что они действительно эффективны; остаточный риск будет значительно минимизирован, а потенциальное воздействие внутри организации может быть локализовано в пределах достаточно ограниченной зоны контроля.
МНК. Индикаторы компрометации (IOC)
Механизм предотвращения, который очень эффективен и стоимость которого вполне доступна для любой организации, - это использование индикаторов компрометации (IOC).
Это стандартизированный метод, основанный в основном на метаязыках и основной целью которого является раннее выявление и обнаружение угроз, связанных с безопасностью.
Эффективность индикаторов компрометации заключается в возможности того, что содержащаяся в них информация может быть обновлена в любое время и что ею можно очень просто поделиться и обменяться с любым заинтересованным лицом или группой, например, с теми, кто занимается управление инцидентами безопасности.
Индикатор компрометации описывает нас от злонамеренной активности (включая элементы, которые в ней участвуют) до инцидента безопасности с помощью моделей поведения и характеристик, которые можно параметризовать и классифицировать.
Эта информация, содержащаяся в IOC, позволяет делиться поведением анализируемого инцидента от его местоположения до его последнего обновления. Через атрибуты можно включить столько переменных и свойств, сколько мы сочтем необходимым для их описания.
Таким образом, мы имеем дело с элементом, который позволяет нам заранее обнаруживать и идентифицировать угрозы безопасности активов любой организации.
На данном этапе именно здесь фигура специалиста по безопасности, особенно тех, кто занимается управлением рисками, приобретает важную роль, поскольку они будут нести ответственность как за подготовку планов предотвращения инцидентов, так и за укрепление систем. безопасности. Для этого они должны понимать информационные потоки критических бизнес-процессов и соответствующих заинтересованных сторон, таким образом определяя активы, которые необходимо защитить.
Это уже не вопрос обработки информации в том или ином формате на основе заранее определенных переменных и ее обновления по мере изменения или развития инцидента; Теперь речь идет о том, как интерпретировать угрозу, о возможном масштабе, который она может иметь в организации, в дополнение к рассмотрению зависимости между системами, бизнес-процессами и важной информацией и контекстом, в котором может произойти возможное воздействие. Пора предвидеть и предлагать возможные решения бизнес-менеджерам. Благодаря подробному анализу этих индикаторов и правильной интерпретации риска профессионалами, наличие потенциальной угрозы неоднократно обнаруживалось во внутренней и доверенной среде.Это позволило применить необходимые превентивные меры для снижения риска до более чем приемлемого уровня.
Таким образом, обмен информацией с помощью этих индикаторов в координации со всеми заинтересованными сферами корпорации; это эффективный метод предотвращения, генерирующий ранние предупреждения, которые помогают проактивно гарантировать обнаружение инцидентов и управление ими, повышая уровни безопасности критически важных активов от существующих угроз.
Основные индикаторы компрометации IOC «Индикаторы компрометации» (IOC).
Есть большое количество Индикаторов Компрометации. Некоторые описывают необычные действия в системе или сети, другие могут быть основаны на доказательствах, полученных с взломанных компьютеров. В качестве примера мы можем рассмотреть изменения, которые произошли в приложениях или в записях реестров, служб или новых процессов и т. Д.
Как можно чаще отмечать, необычное использование портов приложениями, обнаружение нерегулярного трафика, большое количество запросов на доступ к одному и тому же активу, неоправданный рост запросов к базам данных или аномальная активность в учетных записях пользователей с привилегии. Существуют более конкретные, требующие гораздо более технического профиля для обработки, такие как различные сигнатуры вирусов, хеш-списки, связанные с вредоносными активами, наборы IP-адресов, обнаруженные в целевых атаках, а в случае ботнетов или программ-вымогателей - доменные имена или URL-адреса командных и управляющих серверов.
Внедрение IOC
Сегодня сосуществуют несколько стандартизированных систем обмена показателями вовлеченности. Почти все используют метаязык XML, содержащий параметры, которые будут определять возможный компромисс, и значение, присвоенное с точки зрения вероятности его появления.
Среди наиболее известных:
- OpenIOC (открытые индикаторы компрометации) Oasis Cyber Threat Intelligence (CTI) Cybox (Cyber Observable eXpression) Maec (перечисление и характеристика атрибутов вредоносного ПО)
Также существуют репозитории IOC, такие как IOC Bucket или Openioc Db; Бесплатные платформы, на которых вы можете найти индикаторы и соответствующую информацию об угрозах, которые распространяются широким сообществом пользователей с единственной целью - наилучшим образом использовать их для защиты наших систем.
Для его развертывания существуют такие платформы, как MISP или MANTIS, отвечающие за сбор, хранение и распространение индикаторов безопасности.
вывод
Предотвращение как элемент защиты с помощью IOC сводит к минимуму подверженность с течением времени обнаружению и реагированию на возможный инцидент безопасности; оба являются критическими факторами в процедуре управления рисками.
Огромный объем информации, необходимый для обнаружения потенциальных угроз и последующего определения действий, а также предупреждающих, корректирующих или даже восстановительных действий, требует автоматизированной процедуры, которая делает идентификацию инцидентов простой и быстрой. Эта потребность удовлетворяется с помощью IOC, позволяя моделировать инцидент, классифицировать его на основе различных переменных и связывать с этим конкретным инцидентом.
Относительная экономия по сравнению с эффектами воздействия значительна, и их обслуживание и мониторинг с помощью описанных платформ очень приемлемы для любой организации.
____________________
Икер Сала Симон
Отдел GRC
Аудеа Информационная безопасность
