Cisco CyberOps Associate - Zagrożenia i walka z cyberprzestępczością
1. Przykładowe scenariusze związane z Cybersecurity:
- Atak “Evil Twin”: Sarah łączy się z darmową siecią Wi-Fi w kawiarni, nie zdając sobie sprawy, że jest to fałszywy hotspot stworzony przez hakera. Gdy loguje się do banku, haker przejmuje kontrolę nad jej sesją i uzyskuje dostęp do jej kont bankowych.
- Atak ransomware: Rashid, pracownik działu finansowego, otrzymuje e-mail od CEO z załącznikiem PDF, który wydaje się podejrzany. Po otwarciu załącznika na komputerach pracowników instaluje się ransomware, który szyfruje dane firmy i żąda okupu za ich odblokowanie.
- Zaawansowane złośliwe oprogramowanie: Opisuje się złośliwe oprogramowanie tak zaawansowane, że tylko państwa mogłyby je stworzyć. Przykładem jest robak Stuxnet, który uszkodził irańskie wirówki do przetwarzania uranu.
Wnioski:
Bezpieczeństwo sieci Wi-Fi: Użytkownicy powinni być ostrożni przy łączeniu się z publicznymi sieciami Wi-Fi i upewnić się, że sieć jest legalna.
Ostrożność w otwieraniu załączników: Pracownicy powinni być świadomi ryzyka związanego z otwieraniem podejrzanych e-maili i załączników, nawet jeśli wydają się pochodzić od zaufanych źródeł.
Zagrożenia narodowe: Państwa muszą być przygotowane na zaawansowane ataki cybernetyczne, które mogą celować w kluczową infrastrukturę.
2. Podmioty stanowiące zagrożenie, tacy jak amatorzy, hakerzy aktywiści, grupy przestępcze, sponsorowane przez państwo i grupy terrorystyczne, przeprowadzają ataki cybernetyczne. Amatorzy, znani jako dzieciaki skryptowe, korzystają z podstawowych narzędzi do przeprowadzania ataków. Hakerzy aktywiści protestują przeciwko różnym pomysłom politycznym i społecznym. Wiele działań hakerskich jest motywowanych chęcią zysku finansowego. Państwa są zainteresowane wykorzystaniem cyberprzestrzeni do szpiegostwa przemysłowego. Internet rzeczy (IoT) jest wszędzie wokół nas i szybko się rozwija, ale wiele urządzeń IoT nie jest aktualizowanych najnowszym oprogramowaniem, w związku z czym istnieją możliwości wykorzystania luk do złych celów. W październiku 2016 roku atak DDoS na dostawcę domen Dyn spowodował wyłączenie wielu popularnych stron internetowych. Dr Rubin z Uniwersytetu Johns Hopkins wyjaśnia zagrożenia związane z brakiem zabezpieczeń urządzeń IoT.
3. Cyberprzestępcy często kradną osobiste dane identyfikacyjne (PII), takie jak imię, numer ubezpieczenia społecznego, data urodzenia, numery kart kredytowych, numery kont bankowych, ID wydane przez rząd i informacje adresowe. Te dane mogą być sprzedawane na darkwebie i wykorzystywane do tworzenia fałszywych kont finansowych. Wśród PII znajdują się również chronione informacje zdrowotne (PHI) i osobiste informacje bezpieczeństwa (PSI), takie jak nazwy użytkowników i hasła. Wiele hakerów koncentruje się na kradzieży PII lub PHI, co prowadzi do poważnych naruszeń danych. Firmy obawiają się również korporacyjnego szpiegostwa w cyberprzestrzeni i utraty zaufania klientów. Ataki cybernetyczne nie dotyczą tylko firm - również agencje rządowe są narażone na ataki.
4. Obrona przed dzisiejszymi zagrożeniami wymaga sformalizowanego, uporządkowanego i zdyscyplinowanego podejścia. Organizacje zwykle korzystają z usług profesjonalistów w Centrum Operacji Bezpieczeństwa (SOC). SOC oferuje szeroki zakres usług, od monitoringu i zarządzania, po kompleksowe rozwiązania przeciwdziałające zagrożeniom i hostowane zabezpieczenia, które mogą być dostosowane do potrzeb klienta. SOC może być całkowicie wewnętrzny, należący i zarządzany przez firmę, lub elementy SOC mogą być zlecone dostawcom zabezpieczeń, takim jak Cisco Managed Security Services.
Główne elementy SOC to
- ludzie
- procesy
- technologie.
Role zawodowe w SOC szybko ewoluują. Tradycyjnie, SOC przydziela role zawodowe według poziomów, zgodnie z wymaganą wiedzą specjalistyczną i odpowiedzialnością. Prace na pierwszym poziomie są bardziej na poziomie początkującym, podczas gdy prace na trzecim poziomie wymagają obszernej wiedzy specjalistycznej.
- Analityk Alertów Poziomu 1 - Ci profesjonaliści monitorują nadchodzące alerty, weryfikują, czy wystąpił prawdziwy incydent, i przekazują zgłoszenia do Poziomu 2, jeśli jest to konieczne.
- Responder Incydentów Poziomu 2 - Ci profesjonaliści są odpowiedzialni za dogłębne badanie incydentów i doradzanie w zakresie naprawy lub działań do podjęcia.
- Łowca Zagrożeń Poziomu 3 - Ci profesjonaliści mają umiejętności na poziomie eksperta w zakresie sieci, punktów końcowych, wywiadu dotyczącego zagrożeń i inżynierii wstecznej złośliwego oprogramowania. Są ekspertami w śledzeniu procesów złośliwego oprogramowania, aby określić jego wpływ i sposób usunięcia go. Są również głęboko zaangażowani w poszukiwanie potencjalnych zagrożeń i wdrażanie narzędzi do wykrywania zagrożeń. Łowcy zagrożeń szukają cyberzagrożeń, które są obecne w sieci, ale jeszcze nie zostały wykryte.
- Menedżer SOC - Ten profesjonalista zarządza wszystkimi zasobami SOC i służy jako punkt kontaktowy dla większej organizacji lub klienta.
Dzień Analityka Bezpieczeństwa Cybernetycznego zwykle zaczyna się od monitorowania kolejek alertów bezpieczeństwa. Często używa się systemu zgłoszeń, aby przypisać alerty do kolejki do zbadania przez analityka. Ponieważ oprogramowanie generujące alerty może wywoływać fałszywe alarmy, jednym z zadań Analityka Bezpieczeństwa Cybernetycznego może być weryfikacja, czy alert reprezentuje prawdziwy incydent bezpieczeństwa. Gdy weryfikacja jest ustalona, incydent może być przekazany do śledczych lub innego personelu bezpieczeństwa do podjęcia działań. W przeciwnym razie alert może być odrzucony jako fałszywy alarm.
Jeśli zgłoszenie nie może zostać rozwiązane, Analityk Bezpieczeństwa Cybernetycznego przekaże zgłoszenie do Respondera Incydentów Poziomu 2 w celu głębszego zbadania i naprawy. Jeśli Responder Incydentów nie może rozwiązać zgłoszenia, przekaże je do personelu Poziomu 3 z dogłębną wiedzą i umiejętnościami poszukiwania zagrożeń.
Centra Operacji Bezpieczeństwa (SOC) korzystają z systemów zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM) do analizy danych generowanych przez różne urządzenia bezpieczeństwa.
5. SOAR (Security Orchestration, Automation and Response) to technologia, która agreguje, koreluje i analizuje alerty, a także integruje wywiad dotyczący zagrożeń i automatyzuje śledztwo incydentów i przepływy pracy odpowiedzi. Elementy SOAR:
- Orkiestracja - integruje i koordynuje liczne narzędzia i zasoby bezpieczeństwa.
- Automatyzacja - pomaga zaspokoić niedobór talentów analityków ds. bezpieczeństwa cybernetycznego i zwiększa efektywność.
- Reakcja - może mieć formę podręczników bezpieczeństwa, które składają się z automatycznych odpowiedzi opartych na regułach, które zostały stworzone, aby sprostać konkretnym rodzajom zdarzeń.
6. Platformy bezpieczeństwa SOAR zbierają dane alarmowe, dostarczają narzędzia do badania przypadków i podkreślają integrację dla automatyzacji odpowiedzi na incydenty. Zawierają playbooki umożliwiające automatyczną reakcję na zagrożenia. SOAR podkreśla narzędzia integracyjne i automatyzację przepływów pracy SOC, co pozwala personelowi ds. bezpieczeństwa skupić się na bardziej pilnych sprawach. Przyszłe przyjęcie zaawansowanych platform SOAR przekształci operacje i role zawodowe SOC. Systemy SIEM generują wiele alertów, z których wiele jest przetwarzanych automatycznie przez SOAR, umożliwiając personelowi ds. bezpieczeństwa skupienie się na bardziej złożonych zagrożeniach.
7. Centrum Operacji Bezpieczeństwa (SOC) jest kluczowe dla bezpieczeństwa organizacji i wymaga ciągłego monitorowania i ulepszania. Wydajność SOC mierzy się za pomocą różnych wskaźników, takich jak czas trwania, średni czas wykrycia (MTTD), średni czas reakcji na zatrzymanie i naprawę incydentu bezpieczeństwa (MTTR), średni czas potrzebny na zatrzymanie incydentu (MTTC) i czas kontroli. Większość sieci przedsiębiorstw musi być zawsze dostępna, a każda firma ma ograniczoną tolerancję na przestój sieci. Bezpieczeństwo musi zrównoważyć silne zabezpieczenia z efektywnym funkcjonowaniem biznesu.