Av Ivan Vinogradov, Security analyst, Logpoint och Jan Quach, Global Director of Customer Success Engineering, Logpoint

Med den senaste tidens händelser i Ukraina kan man förvänta sig att de typer av cyberattacker som organisationer står inför kommer att bli mer aggressiva, avancerade och ihärdiga på grund av att statliga aktörer och organiserade brottslighetsgrupper deltar och har möjlighet att utföra och upprätthålla sådana handlingar under långa perioder.

En sådan grupp, Conti, har offentliggjorts med avsikten att engagera sig i återbäringsåtgärder mot regeringar som inför sanktioner mot Ryssland, dess värdstat.

Detta är en fråga som inte bör tas lätt eftersom vem som helst kan utsättas för dessa cyberattacker – både direkt och indirekt.

Call-to-action – Praktiska åtgärder för att öka din säkerhetsställning

I den situation vi befinner oss i verkar hotet till stor del gälla branscher som är nyttiga, relevanta för statliga eller sociala funktioner – eller helt enkelt stora företag som är högprofilerade och därmed skulle få medialt intresse.

Med tanke på vårt ekosystem och vår leveranskedja, även om organisationer kanske inte direkt är ett mål, har det tidigare visat sig att organisationer indirekt kan påverkas av cyberattacker från företag de interagerar med eller utkontrakterar med.

Även om det låter skrämmande finns det åtgärder som kan stärka en organisations cybersäkerhetsställning.

Nedan följer våra fem rekommendationer:

  1. Kontextualisera och analysera ett potentiellt hot

Hotintelligens är en viktig kunskapsbas om cyberhot och deras driftsätt. Det är värdefullt i den meningen att det gör det möjligt för organisationer att analysera identifierade hot och utvärdera deras giltighet och potentiella påverkan på din organisation.

Det är viktigt att ha högkvalitativa Threat Intelligence-flöden och leverantörer, som Recorded Future, Crowd Strike eller Mandiant för att nämna några, som tidigare har visat sig ha relevanta hot som intel är relaterade till statsfokuserade attacker. Det finns även kostnadsfria och allmänt tillgängliga hotanalyserbjudanden som kan användas. Vissa av dessa källor kan generera en betydande mängd falska positiva resultat, vilket skulle kräva ytterligare analys eller automatisering.

Statliga CERT, branschspecifika cyberrelaterade publikationer och leverantörsrapporter är tillförlitliga källor till hotanalys och skyddsåtgärder, även om vissa kan vara otillräckliga för nya attacker.

De flesta SIEM-leverantörer, slutpunktshantering och andra säkerhetslösningar på högre nivå integreras med källor till hotanalys, oavsett om det sker via STIX/TAXII eller direkt.

  1. Detektivförmåga

Ett bra försvar kräver en effektiv detektivmekanism, som vanligtvis utförs av SIEM-lösningen, baserad på Sysmons grundläggande mekanism, vilket gör det möjligt att upptäcka ett brett spektrum av attacker. En av dessa är utpressningstrojaner, en stöttepelare bland instigatorerna som vidmakthåller avancerade och ihållande cyberattacker. Ett exempel är PowerShell-aktiviteten, som är vanlig för nästan alla typer av skadlig programvara i det fria.

Vi rekommenderar att du börjar med Sysmon-konfigurationsmallen som finns här. Sysmon kan laddas ned från den dedikerade Microsoft-sidan och distribueras via koncernpolicyn, och vi rekommenderar att IT- och säkerhetsansvariga installerar det på klienter och servrar.

  1. Skyddsförmåga

Kontokontroll är den viktigaste aspekten av en organisations säkerhet. Alla enheter, oavsett om de är små kriminella eller regeringar, använder strategin att få kontroll över giltiga referenser.

De flesta säkerhetslösningar är utrustade för att hantera kontoövertagande. LogPoint SIEM+SOAR har till exempel MITRE ATT&CK-baserade detekteringsregler och automatiska playbooks för ATT upptäcka, undersöka och reagera automatiskt, medan LogPoint UEBA-lösningen automatiskt varnar för en beteendeförändring i ett visst konto. Det är dock inte nödvändigt att äga en sofistikerad och automatiserad lösning för att skydda organisationens konton. Att begränsa behörigheter och ställa in lösenordskrav i Active Directory är det första viktiga steget mot kontosäkerhet.

Detta kan även göras med orkestreringslösningar som Puppet om din miljö är blandad eller Linux-baserad, eller om din verksamhet kräver en bred flotta av virtuella maskiner.

Detta ger i sin tur en motåtgärd mot några av de mest destruktiva stammarna av skadlig programvara, som Contis ransomware-attacker. Regelbundna säkerhetsrutiner är lika viktiga, till exempel regelbundna regelbundna säkerhetskopieringar, MFA etc.

I Conti-situationen meddelade dock aktörerna illvilliga avsikter i motsats till rena ekonomiska fördelar. I det här fallet rekommenderar vi att du även tittar på mindre utforskade kontroller – som att segmentera bort din mest värdefulla infrastruktur, och i första hand data, med tanke på motståndarens aggressiva natur, samt implementera åtminstone en grundläggande honungskruka.

Det sistnämnda skulle vara viktigt för snabb detektering eftersom även en enda server som inte nås av användarna är enkel att övervaka genom nästan vilken lösning som helst – och de flesta utpressningstrojaner involverar fortfarande upptäckter och laterala rörelser som så småningom även kommer att beröra den.

  1. Responsförmåga

Att ha Threat Intelligence, Sysmon och Access Controls är alla delar av säkerhetspusslet. Men i den moderna miljön är det viktigt att ha en centraliserad översikt. Detta kan åstadkommas med en grundläggande logghanteringslösning, en SIEM-lösning eller en SIEM-lösning som förstärkts med automatiseringsfunktioner.

En SIEM-lösning ger möjlighet att kontextualisera, utvärdera, validera och undersöka flera säkerhetskontroller, vilket ger drifts- och responsteamen en välbehövlig hälsoöversikt över en organisations IT-infrastruktur som resulterar i snabbare respons på potentiella hot.

När du har en SIEM-lösning eller annan aggregerings-/orkestreringslösning är det enkelt att konfigurera en mycket snävare återkopplingsslinga när det gäller tid till upptäckt av ett visst hot. LogPoint implementerar till exempel detta med hjälp av varningar som är konfigurerade för att detektera bredare mönster snarare än ett enda meddelande.

En utökad version av en SIEM-lösning skulle vara en SIEM-lösning med automatisering, till exempel LogPoint SIEM+SOAR. Vi rekommenderar dock att du först fokuserar på att implementera varningar som är avsedda att upptäcka hot och samla in loggar som är nödvändiga för att utlösa dem, innan du omdirigerar arbetet med att automatisera incidenthanteringsprocessen.

  1. Återställning – Kontinuitet i verksamheten

Ur ett resiliensperspektiv, engagera, testa och genomföra övningar i kontinuitetsplanerna. Förvänta dig att bli påverkad och se till att personalen är utbildad, att systemen har återställningsmöjligheter och att responsteamen har de verktyg som behövs för att återhämta sig från en påverkan på deras IT-infrastruktur. En vanlig förmåga i alla återställningssituationer är återställningsverktyg som incidenthantering, kommunikationskanaler, återställningspunkter osv. Om IT-infrastrukturen inte är tillgänglig på grund av attacken behöver incidentteamet separata plattformar för att effektivt hantera incidenthantering, kommunikation och åtkomst till återställningsplaner och dataåterställningspunkter.

Gör livet svårt för angriparen

Dessa åtgärder bör öka din säkerhetsställning mot bakgrund av den aktuella attackvågen – de inkluderar vissa standardråd och vissa mindre kända rutiner. Det är viktigt att inse att det inte finns någon perfekt säkerhetsstrategi, men en försvarare kan med lite ansträngning göra det betydligt svårare för en sofistikerad angripare att lyckas.

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews