fbpx

Super-producatorul care da un sens sintagmei “Zero Trust Security”


Daca sunteti un profesionist in domeniul securitatii, exista multe motive pentru care sa va tina in priza noaptea, de la atacuri ransomware paralizante la incalcari costisitoare de securitate a datelor. Tocmai de aceea apelezi la furnizori de solutii de securitate de incredere, nu? Dar ce se intampla daca va incredeti in oameni sau companii care induc in eroare prin evaluari exagerate?

 

Super-producatorul care da un sens sintagmei “Zero Trust Security” 1

Recent, unii furnizori de securitate au corelat regula 1-10-60 de raspuns la incalcari de securitate al CrowdStrike cu prevenirea amenintarilor malware, ceea ce implica in mod fals ca ne bazam pe procese lente, executate de oameni, pentru a detecta si a atenua amenintarile. Nu e surprinzator sa dai in liderul pietei, dar aceasta implicatie speciala poate fi interpretata doar intr-unul din doua moduri: fie nu inteleg diferenta dintre vanatoarea de amenintari si prevenirea amenintarilor, fie sunt persoane rau-intentionate. Oricum ar fi, nu ajuta o industrie de securitate bazata pe notiunea de incredere si nu ajuta comunitatea utilizatorilor finali pe care incercam sa o protejam in mod colectiv.

Despre ce este cu adevarat regula 1-10-60? Vom explica modul in care CrowdStrike foloseste inteligenta artificiala si invatarea automata pentru a detecta si preveni amenintarile – fara a fi necesara interventia umana.

Scurt istoric al regulii 1-10-60

La inceptul anilor, unii producatori de solutii de securitate au inceput sa tina statistici si sa publice datem precum timpul de stationare(dwell time) — timpul mediu dintre momentul in care un adversar patrunde in mediul unei organizatii si momentul in care descopera incidentul. Timpul de stationare, care pe atunci adesea dura sute de zile, a oferit o modalitate simpla si consecventa de a evalua succesul general al unui adversar si a fost un marcaj fin – o masura pe care organizatiile trebuie sa o reduca pentru a-si asigura mai bine afacerile.

Ajutand organizatiile in timpul actiunilor de raspuns la incidente, CrowdStrike a descoperit ca, in mod uzual, respectivele companii avusesera probleme un timp indelungat. Desi timpul de stationare a fost util pentru a caracteriza cat de eficiente sunt intreprinderile in identificarea faptului ca au avut un incident sau, mai exact, ca a existat un adversar in retea, nu a ajutat la descompunerea sau cuantificarea actiunilor particulare pe care le-a facut atacatorul. Si nu a oferit cu adevarat informatii practice pe care compania le-ar putea folosi pentru a-si consolida pozitia de securitate.

De mult timp, CrowdStrike a abordat incalcarea de securitate nu ca un eveniment singular, ci ca o serie de actiuni pe care un adversar le intreprinde pentru a-si atinge obiectivele. In consecinta, am identificat masuratori discrete pentru a cuantifica timpul necesar unui actor de amenintare pentru a atinge diferite etape ale unui atac (de exemplu, timpul necesar pentru indeplinirea diverselor tactici descrise in MITRE ATT&CK Framework).

In 2018, ne-am adaptat la ceea ce am numit timp de spargere – timpul necesar unui adversar cu un punct de sprijin in reteaua dvs. pentru a escalada privilegiile sau a intreprinde alte actiuni pentru a se deplasa lateral in infastructura organizatiei – ca o masura cheie. Abilitatea ta de a atenua un incident de securitate inainte ca un adversar sa izbucneasca este primordiala. Este diferenta intre a face o munca de curatare minora si a face fata unei intreruperi majore a serviciului sau a unei incalcari a securitatii datelor, care necesita o munca extinsa de investigare si remediere.

In anii care au urmat, s-a constat ca timpul mediu de spargere se schimba in functie de peisaju amenintarilor. Cand am calculat pentru prima oara timpul de spargere, pentru anul calendaristic 2017, am constatat ca media a fost de putin mai putin de doua ore. Aceasta medie a crescut in 2018 la aproximativ 4 ore si 30 de minute si, din nou, in 2019, la 9 ore. Acest lucru se explica, in mare parte, prin proliferarea rapida a actorilor eCrime in aceasta perioada, care, desi erau abundenti, nu erau la fel de calificati ca si omologii lor din entitatile de stat.

Pe masura ce mediile au crescut, am inceput, de asemenea, sa examinam timpii de spargere in diferite categorii de adversari. De exemplu, in timp ce media s-a situat la 9 ore in 2019, am vazut BEARs sau actori de stat rusi cu un timp mediu de spargere sub 19 minute. Aceasta analiza mai detaliata a ajutat imediat la informarea modelelor de amenintare ale unor organizatii, oferind un criteriu de referinta documentat, pe baza caruia acestea ar putea stabili cerinte interne de performanta si pot lua decizii in ceea ce priveste personalul, arhitectura, achizitiile etc

Super-producatorul care da un sens sintagmei “Zero Trust Security” 3Sursa: Raportul Amenintarilor Globale 2019 (Anliaza datelor colectate in 2018)

Realizand semnificatia timpului de spargere, CrowdStrike a venit cu un concept propriu pe care l-au numit Regula 1-10-60 pentru a sprijini organizatiile in demersul de a-si imbunatati disponibilitatea securitatii cibernetice si de a surprinde incidentele inca din fazele incipiente. Dezvoltata in colaborare cu organizatii-cheie, regula ii provoaca pe aparatori sa detecteze activitati daunatoare in decurs de un minut, sa aiba un analist uman care sa evalueze activitatea in decurs de 10 minute si sa izoleze sau sa remedieze amenintarea in 60 de minute, inainte ca un adversar sa poata izbucni si sa faca ravagii.

In mod spectaculos, in ultimii doi ani, am vazut ca durata timpului de spargere a scazut dramatic. Timpul mediu de spargere inregistrat pana la acest moment in 2021 a fost de doar 2 ore si 30 de minute. A existat, de asemenea, o schimbare de paradigma, multe dintre cele mai scurte intervale de spargere fiind observate acum in campaniile eCrime, unde adversarii eCrime fac scot o medie de timp de spargere de aproximativ 1 ora si 30 de minute. In acest context, regula 1-10-60 nu mai este pur si simplu un punct de reper util pentru organizatiile care sunt de interes pentru adversarii care fac legatura cu institutiile statului, este un avertisment puternic pentru organizatiile de pretutindeni sa se pregateasca pentru o batalie care va fi definita de viteza.

 

Aplicarea regulii pentru a evalua disponibilitatea securitatii cibernetice

Regula 1-10-60 sporeste capacitatea organizatiei de a raspunde atacurilor cibernetice pe baza unui set bine definit de criterii. Multe organizatii din intreaga lume se folosesc de aceasta, reprezentand un indicator cheie de performanta. Se pot face exercitii de simulare a atacurilor, pe echipe, pentru a testa performanta si pentru a va ajusta apararea.

Unele organizatii folosesc regula pentru a evalua furnizorii de servicii gestionate si pentru a negocia SLA-urile. Si unele entitati din spatiul de asigurari cibernetice experimenteaza regula pentru o varietate de cazuri de utilizare. In plus, regula este atat de usor de inteles incat partile interesate la nivel de consiliu o pot folosi pentru a determina daca echipele lor de securitate sunt pe drumul cel bun.

Conceptul a castigat teren si in cercurile guvernamentale.  U.S. Cyberspace Solarium Commission, spre exemplu, a descoperit ca “abilitatea unei companii de a detecta, ivestiga si remedia rapid intruziunile din retea reprezinta un indicator util al maturitatii operatiunilor sale de securitate, constand in abilitatea de a se apara importiva atacurilor cibernetice si de a atenua tipurile de riscuri de securitate cibernetica care ar putea afecta operatiunile sale comerciale si conditiile financiare.” S-a continuat pana la recomandarea facuta catre Congresul SUA de a amenta legislatia privitoare la guvernanta organizationala astfel:

“Specificarea cerintele de responsabilitate organizationala este esentiala pentru securitatea sistemelor de informatii, iar companiile tranzactionate public trebuie sa pastreze toate inregistrarile privind evaluarile, determinarile si deciziile de risc, igiena cibernetica, testele de penetrare si rezultatele echipei rosii, inclusiv o inregistrarea valorilor referitoare la viteza de detectare, investigare si remediere a acestora”

Recent, National Defense Authorization Act din anul fiscal 2021 solicita Departamentului de Aparare (DoD) sa evalueze utilizarea unor „valori bazate pe viteza pentru a masura performanta si eficacitatea centrelor de operatiuni de securitate si a furnizorilor de servicii de securitate cibernetica” in cadrul DoD. Lucrarile in acest domeniu vor continua cel putin pana in decembrie anul curent si ar putea fundamenta strategia cibernetica a Departamentului pe viitor.

Recordul absolut al Regulii 1-10-60

Regula 1-10-60 constituie un reper practic pentru masurarea gradului de pregatire si formularea planurilor de securitate cibernetica. Atata vreme cat o organizatie este formata din oameni, procese si tehnologie potrivite pentru a respecta regula, compania ar trebui sa poata identifica si contracara un atacator inteligent inainte ca acesta sa patrunda in retea si sa provoace daune semnificatie.

Revenim, insa, la furnizorii de securitate cibernetica care, din nou, intentionat sau neglijent, intorc sensul Regulii 1-10-60, sustinand ca regula este depasita, indicand atacurile recente de ransomware ca dovada ca este nevoie doar de milisecunde pentru a incalca o organizatie. Dar Regula 1-10-60 nu se refera doar la prevenirea executarii malware-ului. Este vorba despre evitarea atacurilor hands-on-keyboard si oprirea unui adversar activ inainte ca acesta sa se infiltreze in retea, de a-si atinge obiectivele finale si, eventual, de a face rau ireparabil. In multe cazuri, aceasta inseamna prevenirea atacurilor care nu utilizeaza programe malware (si, in schimb, folosesc adesea software sau servicii legitime pentru a efectua atacuri) sau prevenirea atacurilor care exploateaza configurarile gresite ale sistemului sau abuzeaza de acreditari legitime. Asadar, fie vanzatorii care incearca sa foloseasca exemplul de ransomware nu inteleg diferenta dintre detectarea malware-ului si vanatoarea de amenintari, fie incearca in mod deliberat sa induca in eroare.

In securitatea cibernetica nu exista pilot automat

Poate chiar mai grav este ca unii furnizori presupun ca CrowdStrike foloseste cumva regula 1-10-60 ca linie directoare pentru elaborarea solutiilor sale, sugestia implicita fiind ca produsele sunt lente si / sau necesita interventie umana.

Nimic nu poate fi mai departe de adevar si, din nou, aceasta ilustreaza o lipsa de intelegere sau o incercare de a induce in eroare oamenii. CrowdStrike angajeaza o echipa de profesionisti experimentati in securitate? Bineinteles ca da. De exemplu, in ultimul an, expertii umani ai CrowdStrike din cadrul echipei Falcon OverWatch™ au identificat in mod direct peste 65.000 de potentiale intruziuni hands-on – ceea ce inseamna una la fiecare 8 minute.

Dar trebuie subliniat ca acesti experti fac acele operatiuni unde masinile nu exceleaza pe cont propriu, precum urmarirea amenintarilor bazata pe ipoteze sau contextualizarea evenimentelor si alertelor de securitate. CrowdStrike nu se bazeaza pe interventia expertilor umani pentru a detecta si bloca manual malware sau alte amenintari elementare.

Adevarul este ca Platforma de protectie endpoint CrowdStrike Falcon® foloseste inteligenta artificiala, invatare masina si un agent inteligent si usor pentru a-si construi apararea impotriva amenintarilor actuale, cu o viteza si o simplitate de neegalat. CrowdStrike Threat Graph®, creierul din spatele platformei native pentru cloud Falcon, combina o baza de date de inteligenta a amenintarilor scalabila masiv cu analize bazate pe AI pentru a detecta, preveni, previziona si atenua atacurile avansate si exploatarile zero-day. Threat Graph este permanent alimentat cu volume masive de date de telemetrie live de la punctele finale Falcon si din alte surse – la o scara si viteza pe care niciun concurent nu le poate egala. Solutia capteaza peste 500.000 de evenimente pe secunda, procesand peste 1 trilion de evenimente pe zi de la milioane de agenti din intreaga lume si oferind informatii de securitate fara precedent.

“Incredere verificata” — accent pe ceea ce conteaza

Falcon apara impotriva atacurilor cibernetice moderne cu viteza si precizie. Dovada? CrowdStrike participa in mod regulat la cel mai larg set posibil de teste de laborator efectuate de autoritati independente, cum ar fi AV-Comparatives si SE Labs. Cand vine vorba de testarea publica terta parte, deschiderea si transparenta conteaza

In iunie 2021, SE Labs a testat solutiile de protectie enterprise endpoint, iar solutiile CrowdStrike Falcon au primit un premiu AAA, avand un grad de precizie de protectie de 98%, un nivel de precizie legitim de 100% si un nivel de precizie total de 99%. In testele de securitate business realizate de AV-Comparatives in iunie 2021, CrowdStrike Falcon Pro a primit titlul Approved Business Product, obtinand o rata de protectie de 99,5%.

Increderea este unul dintre elementele fundamentale in securitate. Inducerea in eroare, jocul sistemului si evitarea testarii independente a produselor sunt – in cel mai bun caz – dovezi de iresponsabilitate.

Securitatea cibernetica este despre protejarea clientilor. Clientii ar trebui sa se astepte la transparenta si integritate de la furnizorii lor de securitate de incredere. Dar pentru a va convinge de calitatile solutiile CrowdStrike, poate cel mai bine ar fi sa faceti o testare a solutiei Falcon, gratuita pentru 15 zile!

Vedeti de asemenea

Cautati informatii