Å jobbe med nettsikkerhet kan føles som å kjempe en tapende kamp. Nettkriminelle kan få tilgang til organisasjonens nettverk på få minutter, mens det ofte tar måneder før sikkerhetsanalytikerne oppdager bruddet. Antall nettangrep øker, mens nettsikkerhetsindustrien står overfor et stadig økende behov for ytterligere sikkerhetstiltak. Sikkerhetsanalytikere må finne alle sårbarhetene i infrastrukturen for å beskytte hele systemet, mens inntrengerne bare trenger å finne én sårbarhet for å finne veien inn.

Trusselaktører har overtaket, så hvordan kan bedriftene navigere gjennom trussellandskapet?

Bekjempelse av angrepsdominans krever en målbevisst tilnærming

Det er umulig å beskytte hele infrastrukturen mot nettkriminelle. De er dominante, og det er lite sannsynlig at det vil endre seg. Nettangrep er uunngåelige, og det krever at analytikere bytter fra en forebyggende tilnærming til en målrettet tilnærming introdusert av°SANS SEC511. I stedet for å prøve å unngå kompromisser, har den målrettede tilnærmingen som mål å hindre angriperne i å få det de ønsker, noe som vanligvis er data eller systemkontroll. Til syvende og sist trenger ikke analytikerne å beskytte hele infrastrukturen, de trenger bare å beskytte de kritiske ressursene.

Nøkkelen til suksess med den målrettede tilnærmingen, er synlighet i nettverket slik at analytikerne kan oppdage et brudd. Nettkriminelle vil alltid legge igjen fotavtrykk, men analytikerne må kjenne fienden for å se dem: Hvordan de tenker og hvordan de fungerer. Angripere bruker for eksempel alltid sårbarhetsvurderinger som en del av aktiv eller passiv overvåking, så et sterkt sikkerhetsteam må også utføre dem for å ligget et steg foran. Analytikere må forstå taktikkene, teknikkene og prosedyrene til trusselaktørene.

Det er svært viktig å miljøet

Nettkriminelle følger vanligvis den samme prosessen under et angrep. Først prøver de å bli kjent med miljøet og kartlegge det. Deretter prøver de å finne de kritiske ressursene. Til slutt vil de stjele eller utnytte verdiene. For at et sikkerhetsteam skal kunne forhindre angrep, må de kjenne miljøet og de kritiske ressursene.

Sikkerhetsteamet må kartlegge infrastrukturen ved å vurdere forsvaret, hvilken informasjon som kan gi en oversikt over den og hvilket detaljnivå som kreves. Teamet må også forstå de kritiske applikasjonene og deres plassering, de sensitive dataene og hvor de befinner seg, identifisere privilegerte brukere og lokalisere viktige nettverkshendelser. Når kartleggingen er fullført, er det nødvendig å observere bevegelsene i infrastrukturen for å få en oversikt over hva som skjer i systemer, applikasjoner, databaser, skymiljøer og operativsystemer.

Kontekst er alt

Analytikere trenger kontekst for å skille mellom forventede og uventede hendelser i infrastrukturen. De kan få kontekst fra åpen kildekode-intelligens, interne kataloger, konfigurasjonsdatabaser, statiske og dynamiske lister og tabeller som inneholder de mest eksponerte brukerkontoene, samt nettverket og geografien. Loggene er det viktigste verktøyet for å forstå observasjoner. Et sterkt sikkerhetsteam vil sørge for at ingen kan bevege seg i infrastrukturen uten å bli registrert.

Overvåking av logger i sanntid er et sterkt verktøy for nettsikkerhet. Det gir situasjonsforståelse og gjør det mulig for analytikerne å få informasjon om bevegelser i infrastrukturen eller spesielt om en kritisk hendelse forventes eller skjer uventet. Analytikere kan oppdage et kriminelt brudd på grensene, og stoppe angrepet. I tillegg kan de bruke maskinlæring til å oppdage uregelmessigheter og øke sjansene for at angriperen ikke får tilgang til kritiske verdier.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser