banner large

Cara mendapatkan keuntungan yang tidak adil atas penyerang siber: Keamanan siber “Kontrol misi”

Comment
X
Share

Bergabunglah dengan eksekutif dari 26-28 Juli untuk Transform’s AI & Edge Week. Dengarkan dari para pemimpin puncak membahas topik seputar teknologi AL/ML, AI percakapan, IVA, NLP, Edge, dan banyak lagi. Pesan tiket gratis Anda sekarang!


Misi inti dari setiap organisasi infosec adalah untuk mengurangi ancaman dan risiko. Sayangnya, penyerang memiliki keuntungan yang tidak adil secara default. Mereka memilih kapan harus menyerang, bisa gagal sebanyak yang mereka butuhkan untuk melakukannya dengan benar, dan hanya perlu melakukannya dengan benar sekali untuk berhasil. Mereka dapat menggunakan perangkat lunak dan alat yang tidak berbahaya untuk menyembunyikan niat mereka dan mengakses alat kecerdasan buatan (AI) dan pembelajaran mesin (ML) yang canggih untuk menghindari deteksi. Dan monetisasi kejahatan dunia maya telah menyebabkan serangan canggih lebih sering terjadi.

Cara untuk mengakali penyerang cyber adalah agar setiap organisasi infosec mendapatkan keuntungan yang tidak adil atas aktor jahat dengan berfokus pada apa yang dapat mereka kendalikan, bukan apa yang tidak dapat mereka kendalikan. Selain mengidentifikasi ancaman, organisasi perlu berpikir lebih holistik tentang bagaimana mereka dapat membatasi permukaan serangan mereka dan merampingkan proses keamanan internal mereka untuk memaksimalkan kemanjuran. Satu-satunya tantangan terbesar yang dimiliki sebagian besar organisasi adalah dengan mengoperasionalkan keamanan di lingkungan mereka. Untuk melakukannya secara efektif membutuhkan orkestrasi dan adaptasi terus-menerus dari orang, proses dan teknologi.

Menambahkan lebih banyak produk keamanan tidak menyelesaikan masalah

Ada penekanan pada alat-alat dalam keamanan siber. Tetapi memiliki terlalu banyak alat menciptakan kompleksitas dan sebenarnya menciptakan kesenjangan yang meningkatkan kerentanan. Ini kontraproduktif dengan mitigasi ancaman.

Sebagian besar organisasi tidak mampu mempekerjakan analis pusat operasi keamanan (SOC) penuh waktu untuk menangani peringatan yang dihasilkan oleh berbagai produk di lingkungan mereka. Akibatnya, pekerjaan sehari-hari infosec menjadi perjuangan tanpa akhir untuk menyaring dan menanggapi peringatan, yang mengalihkan perhatian tim dari fokus pada penerapan proses, kebijakan, dan kontrol keamanan untuk meningkatkan postur dan kematangan keamanan secara keseluruhan.

Beberapa organisasi beralih ke outsourcing untuk mengelola peringatan yang dihadapi tim mereka setiap hari, tetapi sebagian besar penyedia layanan keamanan terkelola (MSSP) hanya mengirimkan peringatan dan meneruskannya ke tim infosec tanpa menambahkan banyak nilai. Mereka menjadi perantara antara alat dan tim infosec. Beban untuk menyelidiki peringatan, menentukan apakah itu positif palsu atau tidak, dan memutuskan cara terbaik untuk merespons jika itu adalah insiden nyata, semuanya berada di pundak tim infosec.

Vendor deteksi dan respons terkelola (MDR) menawarkan lebih banyak dukungan dengan triase peringatan dan investigasi, tetapi sebagian besar tidak meluangkan waktu untuk memahami lingkungan pelanggan mereka secara mendalam. Mereka memanfaatkan teknologi deteksi ancaman untuk mengidentifikasi ancaman, tetapi karena kurangnya pemahaman lingkungan, mereka tidak dapat menawarkan panduan kepada pelanggan mereka tentang respons optimal terhadap insiden tertentu. Sebagian besar penyedia MDR juga tidak banyak merekomendasikan panduan praktik terbaik untuk mengurangi permukaan serangan organisasi atau memberi saran tentang cara mengurangi risiko dengan merampingkan proses internal, praktik yang membantu meningkatkan kematangan keamanan organisasi dari waktu ke waktu.

Mengambil pendekatan cerdas untuk mengalihdayakan keamanan siber

Dalam studi Penelitian Dimensi, 79% profesional keamanan mengatakan bekerja dengan banyak vendor menghadirkan tantangan yang signifikan. Enam puluh sembilan persen setuju bahwa memprioritaskan konsolidasi vendor untuk mengurangi jumlah alat di lingkungan mereka akan menghasilkan keamanan yang lebih baik.

Kematangan keamanan harus diprioritaskan dengan melembagakan kerangka penilaian dan pencegahan berkelanjutan, selain deteksi dan respons dalam model 24×7, dengan penyelaman lebih dalam yang dipimpin oleh insinyur SOC. Penyedia layanan deteksi dan respons (MDR) terkelola yang optimal, platform terpadu orang, proses, dan teknologi yang memiliki keberhasilan menyeluruh dalam mengurangi ancaman dan mengurangi risiko, harus meningkatkan kematangan keamanan menggunakan praktik penilaian, pencegahan, deteksi, dan respons . Root Cause Analysis (RCA) harus dilakukan untuk menentukan penyebab serangan, menginformasikan metode pencegahan untuk masa depan.

Laporan Tahunan Ketahanan Cyber ​​Tahunan Ketiga dari Accenturemenemukan bahwa proses keamanan yang lebih matang menghasilkan peningkatan empat kali lipat dalam kecepatan menemukan dan menghentikan pelanggaran, tiga kali peningkatan dalam memperbaiki pelanggaran, dan dua kali peningkatan dalam mengurangi dampaknya.

Bagaimana organisasi dapat secara efektif memperoleh keuntungan keamanan atas penyerang

Satu-satunya keuntungan yang dimiliki bek adalah kemampuan untuk mengetahui lingkungannya lebih baik daripada penyerang mana pun. Ini biasanya disebut sebagai keuntungan lapangan rumah. Namun sebagian besar organisasi berjuang untuk memanfaatkan ini karena alasan berikut:

  • Transformasi digital telah menyebabkan permukaan serangan berkembang pesat (misalnya dengan model kerja-dari-rumah, bawa perangkat Anda sendiri, migrasi ke cloud dan SaaS). Sulit bagi tim infosec untuk mendapatkan visibilitas dan kontrol yang konsisten di seluruh peningkatan jumlah titik masuk serangan.
  • Lingkungan TI modern terus berubah untuk mengakomodasi inovasi bisnis berikutnya (yaitu, aplikasi baru). Merupakan tantangan bagi tim infosec untuk mengikuti semua perubahan dan menyesuaikan postur keamanan tanpa menghentikan operasi TI.
  • Tim IT dan infosec biasanya beroperasi di silo masing-masing tanpa berbagi informasi secara produktif. Kurangnya komunikasi ini, ditambah dengan fakta bahwa TI dan infosec menggunakan alat yang berbeda untuk mengelola lingkungan, berkontribusi pada tantangan yang disebutkan di atas. Hal ini diperparah oleh fakta bahwa seringkali TI-lah yang harus bertindak untuk merespons ancaman yang terdeteksi (yaitu, menghapus beban kerja dari jaringan).

Jadilah seperti NASA

Inti masalahnya adalah bahwa sebagian besar organisasi berjuang untuk mengoperasionalkan upaya keamanan mereka. Penyedia layanan MDR dapat membantu dengan itu. Tetapi penyedia layanan MDR perlu melampaui deteksi dan respons untuk beroperasi seperti Kontrol Misi NASA – dengan segala sesuatu yang berfokus pada hasil dan merangkul lima faktor utama:

Yang pertama adalah memiliki misi dalam melayani hasil. Sangat mudah untuk terjebak dalam detail dan taktik, tetapi semuanya harus dikaitkan kembali dengan tujuan tingkat yang lebih tinggi yang merupakan hasil akhirnya – untuk meminimalkan risiko.

Langkah kedua adalah mendapatkan visibilitas ke permukaan serangan potensial Anda. Seseorang tidak dapat mengamankan apa yang tidak dipahaminya, jadi mengetahui lingkungan adalah langkah selanjutnya. Dengan setiap organisasi, ada titik berbeda di mana pengguna yang tidak sah dapat mencoba memasukkan atau mengekstrak data (attack surface). Seorang analis perlu sangat menyadari di mana titik-titik ini berada untuk membuat rencana perlindungan strategis yang bertujuan untuk menguranginya. Analis juga harus mengetahui di mana aset penting berada dan aktivitas apa yang dianggap normal (dibandingkan abnormal) bagi organisasi tertentu untuk menandai aktivitas yang mencurigakan.

Langkah ketiga adalah kolaborasi. Melindungi organisasi, mengurangi ancaman, dan mengurangi risiko membutuhkan kolaborasi aktif antara banyak tim. Keamanan harus tetap di atas kerentanan, bekerja dengan TI untuk memperbaikinya. TI perlu mengaktifkan bisnis, bekerja dengan keamanan untuk memastikan pengguna dan sumber daya aman. Tetapi untuk mewujudkan misi, dibutuhkan eksekutif untuk memprioritaskan upaya. Dibutuhkan keuangan untuk mengalokasikan anggaran dan pihak ketiga untuk memberikan layanan respons insiden (IR) khusus.

Selanjutnya, perlu ada sistem. Ini memerlukan pengembangan proses yang mengikat segala sesuatu bersama-sama untuk mencapai hasil akhir, mengetahui dengan tepat di mana orang dan teknologi cocok dan menerapkan alat secara strategis sebagai bagian terakhir dari teka-teki. Seperti disebutkan sebelumnya, terlalu banyak alat adalah bagian besar dari alasan organisasi menemukan diri mereka dalam mode pemadam kebakaran. Penyedia cloud membantu dengan menyediakan kemampuan bawaan sebagai bagian dari penawaran IaaS dan PaaS mereka. Jika memungkinkan, organisasi dan penyedia layanan keamanan siber mereka harus memanfaatkan kemampuan keamanan bawaan dari infrastruktur mereka (yaitu, Microsoft Defender, Azure Firewall, Active Directory), mengurangi kebutuhan akan alat yang berlebihan. Tim Infosec perlu mulai berpikir tentang bagaimana mengembangkan sistem yang memungkinkan mereka untuk fokus hanya pada yang terpenting insiden.

Langkah terakhir adalah pengukuran, yang seharusnya tidak hanya terdiri dari metrik yang menghadap ke belakang, tetapi metrik prediktif yang menunjukkan kesiapan untuk bertahan melawan serangan di masa mendatang. Untuk mengukur efektivitas postur keamanan, cakupan pengukuran harus melampaui mean-time-to-detect dan mean-time-to-respond (MTTD/MTTR) untuk memasukkan metrik seperti berapa banyak aset penting yang tidak tercakup dengan teknologi EDR dan berapa lama waktu yang dibutuhkan untuk mengidentifikasi dan menambal sistem kritis. Metrik ini membutuhkan pemahaman mendalam tentang permukaan serangan dan realitas operasional organisasi.

Bagi sebagian besar organisasi, menjalankan strategi keamanan siber sulit dilakukan karena kurangnya sumber daya dan waktu. Di sinilah penyedia MDR dapat menjadi pengubah permainan, mempersenjatai organisasi dengan teknologi, orang, dan proses untuk mengubah postur keamanannya dan menjadi musuh yang tangguh bagi penyerang potensial.

Dave Martin adalah wakil presiden deteksi dan respons yang diperluas di Sistem Terbuka.

DataDecisionMakers

Selamat datang di komunitas VentureBeat!

DataDecisionMakers adalah tempat para ahli, termasuk orang-orang teknis yang melakukan pekerjaan data, dapat berbagi wawasan dan inovasi terkait data.

Jika Anda ingin membaca tentang ide-ide mutakhir dan informasi terkini, praktik terbaik, dan masa depan teknologi data dan data, bergabunglah dengan kami di DataDecisionMakers.

Anda bahkan mungkin mempertimbangkan untuk menyumbangkan artikel Anda sendiri!

Baca Lebih Lanjut Dari DataDecisionMakers

Leave a Reply

Your email address will not be published.