masterpy
Préstamo
Iota
Con un creciente número de violaciones de datos en los últimos años, no es de extrañar que una colección de las mejores prácticas está evolucionando para ayudar a prevenirlos y responder a ellos cuando se produzcan. Y van a ocurrir - porque los malos ganan la vida por descubrir formas de burlar las mejores prácticas de seguridad.
Aquí hay algunos consejos que han resistido la prueba del tiempo, seguido de una lista de referencia de algunos recursos de proveedores que pueden ayudarle a mejorar su respuesta a incidentes.
Dar prioridad a la protección de datos
La caída de muchas estrategias de seguridad es que se conviertan propagación demasiado general y demasiado dispersa. Cierto nivel de priorización puede aumentar la eficacia mediante la búsqueda sólo para salvaguardar los activos más importantes.
Deja de tratar de proteger a todo", dijo Ray Boisvert, director general de Estrategias Integradas I-Sec (ISECIS). "Proteger sólo lo que es vital y aceptar que el resto puede verse comprometida."
Documentar su proceso de Respuesta
Las mejores prácticas en la demanda de respuesta a incidentes que usted tiene un proceso documentado y seguirlo. Los niveles de estrés se elevan durante los ataques, y es muy probable que ser jalado en muchas direcciones, lo que lleva a la omisión de algunas acciones clave. Jake Williams, un instructor certificado con el Instituto Sans , recomienda el establecimiento de listas de verificación para asegurarse de que todas las tareas se llevan a cabo en el orden previsto. Libre de respuesta a incidentes listas de control están también disponibles.
"Documentación durante el incidente es vital y listas de verificación puede ayudar", dijo.
Hacer Usuarios parte del proceso
Un aspecto a menudo olvidado de respuesta a incidentes es informar a los usuarios finales. Por ejemplo, digamos que un grupo ha tenido sus credenciales de usuario robados. En el momento en que sabe lo que ha pasado es cuando el reloj comienza a correr. Informar de inmediato a los usuarios afectados que deben cambiar sus contraseñas.
"Los usuarios que forman parte del proceso es un componente crítico y las mejores prácticas", dijo Rajneesh Chopra, vicepresidente de Gestión de Producto, Netskope .
Entender Contexto de negocios
Es posible que tenga que tomar los sistemas y aplicaciones en línea para el análisis durante una investigación. Cuando se investiga un sistema de posible compromiso, es importante saber lo que los datos confidenciales se almacena en o pasar por el sistema y tener en cuenta el impacto en el negocio.
"Las herramientas de apalancamiento de prevención de pérdida de datos para trazar los datos importantes flujos en su organización," sugirió Clint Sand, director senior de Preparación Global Cibernético y Servicios de respuesta en Symantec .
Sea cuidadoso
Es muy fácil, en un ataque de encontrar la fuente aparente de malware, erradicarla y dejar las cosas así. Pero es posible que se pierda más rastros de ella en otros sistemas.
"Siga cada una de las pruebas hasta que esté seguro de que ha descubierto todos los atacantes, claramente identificado los anfitriones que han comprometido y comprendido las tácticas utilizadas contra ti," dijo Scott Crane, director de gestión de productos, Arbor Networks .
Proactivamente Recoger datos
Grúas también recomienda que recoja todos los datos que pueda necesitar así antes de que usted lo necesite; esto significa que los registros correctos para los sistemas de seguridad configurados correctamente o rastros de paquetes desde los lugares pertinentes de la red.
"Las investigaciones se descomponen o tomar mucho más tiempo debido a una pieza crucial de evidencia no estaba disponible", dijo Crane.
Vaya con el flujo
Análisis de paquetes sin duda ofrece la mayor visibilidad del tráfico de red. Sin embargo, el número de sondas de captura de paquetes necesarios para cubrir todos los objetivos y posibles lugares puede hacer que sea difícil y costoso. Introduzca las tecnologías de flujo, como NetFlow, que entregan las métricas de rendimiento al tiempo que proporciona más del 90 por ciento de la visibilidad disponible a partir del análisis de paquetes.
"Los administradores de seguridad pueden aprovechar los flujos a los valores basales comportamientos normales y dar lugar para los eventos sospechosos que a menudo son indicativos de infiltración", dijo Michael Patterson, fundador y gerente de producto, Plixer . "Durante la búsqueda de un host específico, sistemas de recogida de flujo distribuidos pueden buscar en los datos recolectados en las zonas remotas del mundo y servir partidos de preparación exacta en segundos."
Tren y Taladro
Nadie se entera de que son buenos en la respuesta a incidentes o gestión de incidentes durante un incidente en curso. Respondedores a Incidentes y directivos por igual necesitan capacitación antes del evento. Después del entrenamiento, deben realizar simulacros periódicos en sus propios entornos.
"El entrenamiento más eficaz incluye simulacros de incidentes, a menudo llamados ejercicios de mesa de arena, donde los respondedores de incidentes y gerentes trabajan a través de un simulacro de incidente", dijo Williams.
Conseguir ayuda externa
¿Tiene los recursos internos para hacer frente a los incidentes que atacan las plataformas móviles, sistemas integrados o el creciente uso de Internet de los dispositivos de las cosas? Si no, puede ser el momento para aumentar su conjunto de habilidades internas con alguna ayuda del exterior.
"Poner un proveedor externo en retención retrocede a su propio equipo, pero también puede proporcionar otros conocimientos como la comunicación de crisis y apoyo legal en el caso de una violación de datos", dijo Sand.
Pasar a la ofensiva
Boisvert aconsejó empresas regularmente objeto de ataques para añadir un elemento ofensivo a lo que tienden a ser en gran medida las estrategias defensivas de respuesta a incidentes. Sugirió que algunos podrían incluso desee considerar ahondar en la Web Oscuro, una gran colección de sitios web que utilizan herramientas de anonimato para ocultar su dirección IP.
"La mejor manera de evitar un incidente es tener un buen ataque", dijo Boisvert. "Involucrar a la Web Oscuro, averiguar quién tiene su información, que está vendiendo y cuáles son las amenazas más recientes pueden ser."
Lista Corta de vendedores
Echemos un vistazo a algunos de los recursos de los proveedores disponibles:
Arbor Networks ofrece Pravail Seguridad Analytics como dispositivo o mediante la nube. Esta herramienta forense utiliza la captura de paquetes como origen de datos, tocando una corriente de red en vivo o cargando un archivo para su análisis. La visualización permite al analista detectar tendencias o anomalías en meses de datos.
"A medida que utiliza la captura de paquetes, tiene todo el contexto del ataque y puede confirmar su magnitud e impacto, así como la mirada a lo sucedido antes del ataque y lo que el atacante hizo después", dijo Crane.
Scrutinizer es un sistema de respuesta a incidentes de malware de Plixer basado en la tecnología NetFlow que puede recoger millones de flujos por secondcto realizan análisis de comportamiento para descubrir comportamientos sospechosos. También detecta la exfiltración de datos mediante el control de archivos de Internet a través del tiempo.
Sistema StealthWatch de Lancope es otro producto que recopila, almacena y analiza los flujos de infraestructura de red y datos contextuales de fuentes incluyendo firewalls y soluciones de identidad. Utilizando el análisis del comportamiento y la detección de anomalías, se identifican las amenazas internas, ataques e infecciones de día cero en las redes empresariales. También construye perfiles en todas las máquinas de la red y los usuarios en función del tráfico observado.
Netskope es un servicio basado en la nube que inspecciona el tráfico de usuario de la empresa hacia y desde aplicaciones de la nube. Puede ser desplegado para inspeccionar el tráfico de escuela a los usuarios a distancia (portátil o dispositivo móvil).
"Netskope puede ayudar a las organizaciones a obtener por delante de los hackers y de adentro y proporcionan capacidades de análisis forenses", dijo Chopra. "Se puede invocar una cuarentena y / o retención legal sobre el contenido de posibilitar que el equipo de respuesta a incidentes de llevar a cabo una investigación."
Symantec Incident Response es un servicio gestionado con capacidades para la preparación, la supervisión de seguridad y respuesta a emergencias. Esto reduce el tiempo que se necesita para identificar y erradicar las amenazas avanzadas mientras que disminuye la probabilidad de incidentes en el futuro, dijo Sand.
RSA Advanced Security Operations Center (SOC) solución es una combinación de tecnología y servicios que da visibilidad equipos de operaciones de seguridad para identificar e investigar los ataques.
Otras herramientas y servicios incluyen:
Fluke Networks ofrece supervisión de la empresa, diagnóstico, análisis, generación de informes y gestión de rendimiento de las aplicaciones.
Bluecoat aparatos de proxy ofrecen almacenamiento en caché Web, detección de virus, filtrado de contenidos y control de mensajería instantánea.
Splunk es una plataforma que analiza varios registros y fuentes de datos para proporcionar inteligencia operativa.
McAfee ofrece un sistema para detectar el origen de los ataques, así como servicios de consultoría sobre cómo tratar con ellos.
FireEye direcciones automatizados forense de amenazas y malware protección dinámica contra amenazas informáticas avanzadas, como las amenazas persistentes avanzadas y spear phishing.
Dell SecureWorks es un servicio de seguridad gestionada.
Además, hay muchas empresas de consultoría que se ocupan de todo, desde las pruebas de intrusión cibernética a la respuesta posterior a la violación, así como una investigación forense. Estos incluyen Deloitte , SecDev , PwC , CGI , Inmunidad , Mandiant , Raytheon y resilientes .
Última edición:
