NetSPI Araştırma Başkan Yardımcısı Scott Sutherland, bu Help Net Security röportajında, İhlal ve Saldırı Simülasyonu (BAS) platformunun inceliklerini ele alıyor ve kuruluşların performanslarını en üst düzeye çıkarmalarına yardımcı olan özelleştirilebilir prosedürlerden gelişmiş oyunlara kadar benzersiz özellikleri nasıl sunduğunu tartışıyor. yatırım getirisi.
Bu röportaj aynı zamanda Temel Performans Göstergelerinin (KPI’ler) güvenlik önlemlerinin etkinliğinin izlenmesindeki hayati rolünü de araştırıyor. Güvenlik profesyonellerinin verilerle etkileşim kurma biçimini değiştirecek şekilde ayarlanmış NetSPI’nin gerçek zamanlı kontrol panellerine kısa bir bakış atmamızı sağlıyor.
NetSPI’nin İhlal ve Saldırı Simülasyon platformuna ve onu benzersiz kılan şeye ilişkin üst düzey bir genel bakış sunabilir misiniz?
Kuruluşların amaca yönelik teknoloji ve profesyonel insan kalem test cihazlarını kullanarak özelleştirilmiş prosedürler oluşturmasına ve yürütmesine olanak tanıyan merkezi bir dedektif kontrol platformu sunuyoruz. Yalnızca IOC’leri değil, gerçek dünyadaki saldırı davranışlarını da simüle edin ve dedektif kontrollerinizi başka hiçbir kuruluşun yapamayacağı şekilde teste tabi tutun.
Kuruluşların NetSPI platformu aracılığıyla yatırım getirisini nasıl görselleştirebileceklerini konuşabilir misiniz?
İhlal ve Saldırı Simülasyonu çözümleri çeşitli şekillerde yatırım getirisi sağlamaya yardımcı olmalıdır:
- BAS çözümleri, tespit edici ve önleyici kontrol açıklarınızın nerede olduğuna dair veri öngörüleri sağlamalı, böylece güvenlik paralarınızı nereye yatıracağınız konusunda akıllı seçimler yapabilirsiniz. Bu, yatırımları anlamlı bir şekilde haklı çıkarmak veya doğrulamak için belirli bir zamanda ve fazla mesai raporlamasını içermelidir. Örneğin bu, yeni veri kaynaklarına yapılan yatırımların yaygın saldırı davranışlarına yönelik uyarı kapsamını nasıl artırabileceğini gösteren görselleştirmeleri içermelidir. Başka bir tipik örnek, başka bir algılama mühendisinin eklenmesiyle algılama kuralı kapsamı sonuçlarındaki artışın görselleştirilmesi olabilir.
- Pentest ve SOC ekiplerini işe almak, eğitmek ve eğitmek zaman ve para alabilir. Çoğu BAS aracı, ekiplerinizin uygulama içindeki yaygın saldırı davranışlarını nasıl yürüteceklerini ve tespit edeceklerini anlamak için kullanabileceği eğitim materyalleri içermelidir. Bu, uzun vadede hem zamandan hem de paradan tasarruf sağlayabilir.
- Binlerce olmasa da yüzlerce hacker aracı var. En yeni kötü amaçlı davranışları simüle etmek için bunları araştırmak, yüklemek ve çalıştırmak, mekanizmalar daha iyi anlaşılırsa zaman alıcı ve riskli olabilir. BAS çözümleri ekibinizin bu durumu ortadan kaldırabilir, böylece simülasyon, tespit mühendisliği ve kontrol doğrulama/ayarlama işlerini yapmaya odaklanabilirler.
- Son olarak, ortalama fidye yazılımı eğilimlerini takip etmek, insanların BAS çözümlerinin önlemeye ve tespit etmeye yardımcı olmak üzere tasarladığı fidye yazılımı olaylarının potansiyel maliyetini tahmin etmelerine yardımcı olabilir.
Platform, kuruluşların özelleştirilebilir prosedürler oluşturmasına, yapılandırmasına ve yürütmesine nasıl olanak tanır? Bize tipik bir kullanım senaryosu üzerinden yol gösterebilir misiniz?
NetSPI BAS platformu, günlük kullanım durumlarını karşılamak için birçok özelleştirme özelliği sağlar.
Oynatmalar Gerçek dünyadaki saldırganların kullandığı beklenen davranışların ve prosedürlerin yürütülmesini otomatikleştirmek için platformda kullanılabilir. Hepsinin özelleştirme seçenekleri var.
Gelişmiş Oynatmalar Kullanıcılara ek esneklik sağlayın, böylece hayal edebiliyorlarsa gerçekleştirebilirler. Gelişmiş oynatma paketleri, kullanıcılara, yükleri bırakmak, rastgele komutları yürütmek, rastgele kodları yürütmek ve hatta konuşlandırılmış aracılar aracılığıyla paket yakalamalarını yeniden oynatmak dahil ancak bunlarla sınırlı olmamak üzere birçok şeyi yapma olanağı sunar.
Başucu Kitapları Kullanıcıların oyunları istedikleri sırayla yürütmelerine izin verin. Bu, belirli bir tehdit aktörüne yönelik TTP’leri simüle etmelerine veya mor veya kırmızı takım kullanım senaryoları için gereken davranışları gerçekleştirmelerine olanak tanıyacak.
NetSPI platformu kullanılarak hangi gerçek dünyadaki saldırı davranışları simüle edilebilir?
MITRE ATT&CK Kill zincirinin ve diğer çerçevelerin her aşamasında tehdit aktörlerinin saldırı prosedürlerini araştırmaya çok zaman harcadık. Daha sonra, platforma koyduğumuz prosedürlerin ve oyunların müşterilerimiz için daha anlamlı olması amacıyla geliştirilmesine öncelik vermek için öğrenilen dersleri aldık ve bunlardan yararlandık. Sonuç olarak, müşterilerimiz çok sayıda gerçek dünyadaki tehdit aktörü davranışlarını simüle edebilir ve muhtemelen öncekilerle aynı “hacker hilecilerinden” bazılarını kullanacak olan hacker gruplarının bir sonraki dalgasına hazırlanmalarına yardımcı olabilir.
Güvenlik kontrollerinin etkinliğinin izlenmesinde ve trendlendirilmesinde KPI’ların rolünü tartışabilir misiniz?
Birçok SOC ekibi, birincil KPI’larından biri olarak ortalama yanıt sürelerine büyük ölçüde güveniyor. Ancak teknoloji yığınlarının, ortamlarındaki standart kötü amaçlı davranışları tespit etmek için gereken izleme/uyarı kapsamını sağlayıp sağlamadığını ölçmüyorlar. Çoğu durumda müdahale ekibi yalnızca gösterge panosundaki uyarılar kadar iyi olabilir. Bu nedenle, KPI’larından birinin “Doğru uyarılar görünüyor mu?” sorusuna bağlı olması gerekir. Bu kriterin ne olması gerektiğini bilmedikleri için birçok şirket, doğrulama olmaksızın güvenlik satıcılarına sorgusuz sualsiz güvenmeye başlar. BAS çözümleri, yaygın kötü amaçlı davranışların IR kontrol panellerinize ulaşıp ulaşmadığını takip etmek için anlamlı ölçümler sağlayabilmelidir.
İster küresel kapsamı, ister satıcılarınızın sağladığı kapsam düzeyini takip ediyor olun, aşağıdakilere dikkat etmenizi öneririz:
1. Sadece teknik düzeyde değil, prosedür düzeyinde de zaman içinde MITRE ATT&CK aşamasına göre tipik TTP kapsamının sayısı. Ayrıca her bir prosedürün günlüğe kaydedilmesini, uyarılmasını, önlenmesini ve yanıt bildirimi düzeylerini takip edin.
2. Sadece teknik düzeyde değil, prosedür düzeyinde de zaman içinde yaygın olarak fidye yazılımıyla ilişkilendirilen yaygın TTP’lerin sayısı. Ayrıca her bir prosedürün günlüğe kaydedilmesini, uyarılmasını, önlenmesini ve yanıt bildirimi düzeylerini takip edin.
3. Tehdit istihbaratına dayalı olarak zaman içinde uygulamaya konulan yeni prosedürlerin sayısı.
Gerçek zamanlı kontrol panellerini derinlemesine inceleyebilir misiniz? Ne tür bilgiler sağlıyorlar ve veriler güvenlik uzmanları için ne kadar uygulanabilir?
Platform size sistem, bölge, iş birimi ve daha fazlasına göre düzenlenebilecek operasyonlar oluşturma yeteneği sağlar. Raporlama, tespit kapsamınızın bugün nerede olduğu ve zaman içinde nasıl geliştiği hakkında anlık bir görünüm sağlamak için bu operasyonların kapsamı olabilir. Ayrıca, güvenlik tedarikçisi yatırımlarınızın performansını daha ayrıntılı olarak inceleyebilmeniz için yılın ilerleyen dönemlerinde gelecek satıcı rapor kartlarını da ekliyoruz.
Güvenlik duruşlarına ihlal ve saldırı simülasyonu uygulamayı düşünen kuruluşlara ne gibi tavsiyeleriniz var?
İhlal ve Saldırı Simülasyonu çözümlerimizden ne elde etmeye çalıştığınızı anladığınızdan emin olun ve satıcı görüşmelerinize üzerinde çalışabileceğiniz sağlam bir gereksinimler listesiyle gelin. Bu, uyumun sağlanmasına ve hizmet veya üründen ihtiyacınız olanı almanıza yardımcı olacaktır.
Aşağıda müşterilerimizden duyduğumuz ortak hedeflerden bazıları yer almaktadır:
- Personele ve güvenlik sağlayıcılarının paralarına yatırım yaparken daha iyi seçimler yapabilmek için algılama açıklarımızın nerede olduğunu anlamak istiyoruz.
- Standart varlık sınıflarımız, bölgelerimiz ve iş birimlerimiz için ne kadar tespit/önleme kapsamına sahip olduğumuzu anlamak istiyoruz.
- Uygulama içi TTP aracılığıyla dahili kırmızı, mor ve algılama mühendisliği ekibimizi eğitmeye ve etkinleştirmeye yardımcı olmak istiyoruz.
- SOC’mizi etkinleştirmek ve güçlendirmek için daha iyi, daha anlamlı KPI’lar istiyoruz.
- Güvenlik tedarikçilerimizi değerlendirmenin daha iyi bir yolunu istiyoruz.
- Halihazırda sahip olduğumuz tespit/önleyici kontroller için sürekli kontrol doğrulaması gerçekleştirmek istiyoruz.