18 abr Webcast sob demanda discute “tornar a remediação de 60 minutos uma realidade”
Novo webcast sob demanda apresenta o vice-presidente de serviços gerenciados da CrowdStrike, Austin Murphy e o diretor de produto sênior, Con Mallon, discutindo como as organizações podem aproveitar a tecnologia e a velocidade para responder a incidentes dentro da janela de tempo de intervalo.
Como discutido na CrowdStrike ® 2019 Global Threat Report, a velocidade é um fator crítico para ficar à frente das ameaças em rápida evolução de hoje. E enquanto a velocidade não é um conceito novo em segurança cibernética e os defensores há muito entenderam sua importância, ela não foi bem definida devido à falta de medições e dados. A CrowdStrike procura remediar isso introduzindo medidas como o tempo de intervalo – que é a janela de tempo de quando um adversário, primeiro compromete uma máquina até quando ela começa a se mover lateralmente pela rede – e sugere a “ regra 1-10-60”. Ambas as quais transmitem mais precisamente o nível de velocidade necessário para derrotar o adversário.
O tempo de breakout é discutido em detalhes em um blog recente , e outro recente CrowdCast detalha como adotar a “regra 1-10-60” como uma referência para alcançar a velocidade necessária para derrotar um adversário sofisticado e interromper a violação. A regra exige: um minuto para detectar, 10 minutos para investigar e 60 minutos para remediar.
A importância da regra 1-10-60
Mallon inicia o webcast delineando as principais descobertas do Relatório Global de Ameaças que orientam a necessidade de se atingir a regra 1-10-60, como segue:
- Hoje é a “sobrevivência do mais rápido”, porque o malware não é o único problema em segurança cibernética – a velocidade é cada vez mais crítica.
- Os ataques de estado-nação continuam inabaláveis: as sofisticadas técnicas de intrusão direcionada estão encontrando seu caminho para o mainstream, e as empresas comerciais estão cada vez mais em risco, especialmente indústrias como hospitalidade e telecomunicações.
- Grupos de eCrime estão colaborando mais do que nunca – lançando ataques maciços de “Big Game Hunting” que geram maiores retornos.
Ele então discute como os ataques podem ser divididos em cinco estágios: acesso inicial, persistência, descoberta, movimento lateral e objetivo – explicando que a regra 1-10-60 deve ser aplicada antes que o movimento lateral seja alcançado.
Linha do tempo de resposta a incidentes
Mallon também descreve o cronograma de resposta a incidentes e os estágios que devem ocorrer para que a correção ocorra dentro do período 1-10-60. As etapas incluem:
-
- Detecção – Encontrar uma ameaça ou atividade suspeita. As organizações têm um minuto para conseguir isso.
- Compreensão – Qual é o contexto da ameaça? Como isso funciona? Quais são seus objetivos? As organizações têm 10 minutos para concluir essa análise.
- Contenção e Erradicação – Evitar que a infecção se espalhe e erradicar do ambiente. As organizações têm 60 minutos para atingir esse objetivo.
O tempo de espera é desafiador
Mallon aponta o desafio de tempos de permanência prolongados que as organizações estão enfrentando – vários casos que a CrowdStrike lidou ilustram esse fato e estão incluídos no Livro de Casos de Intrusão Cibernética da CrowdStrike Services . “Descobrimos que o tempo de permanência dos incidentes em que estivemos envolvidos em 2018 era de 85 dias – portanto, há um enorme desequilíbrio entre os adversários e aqueles de nós que estão defendendo as organizações”, diz ele.
“Eles estão se movendo à taxa de horas, enquanto as organizações estão se movendo em um ritmo de dias, semanas e até meses.” Ele também aponta que, enquanto a regra 1-10-60 recomenda que a detecção seja alcançada em um minuto, um Uma recente pesquisa global conduzida pela CrowdStrike descobriu que leva em média 63 horas para as organizações detectarem ameaças. Mallon diz: “Isso traz um alívio maior à noção de que os adversários estão fortalecendo sua posição – o desequilíbrio é claro”.
Como as organizações podem atender a essas métricas críticas?
O restante do webcast é conduzido por Murphy, que se concentra em como as organizações podem se preparar para se defender dos processos de ataque acelerados de hoje e enfrentar o desafio da regra 1-10-60.
Ele começa explicando os recursos críticos que qualquer organização precisa para responder de forma rápida e eficaz a um evento – eles incluem:
- Operações 24/7/365: as equipes precisam estar disponíveis para responder a ameaças e, se você tiver uma organização global, precisará pensar em fusos horários diferentes quando seus usuários estiverem ativos e abrir e-mails, clicar em links, etc.
- Centro de Operações de Segurança Dedicado (SOC): Você precisa de uma equipe focada na segurança e na criação de “memória muscular” em torno das tarefas necessárias para lidar com as ameaças.
- Processo em vigor: as organizações precisam implementar um processo antes que um incidente ocorra. Isso significa criar um manual, documentando quais ações serão autorizadas e quais tarefas são necessárias.
- Equipes de segurança com acesso direto a endpoints: sua equipe de segurança precisa de acesso técnico e autoridade para fazer alterações. Eles podem precisar conectar-se a um servidor remotamente e excluir um arquivo ou isolar um sistema que represente uma ameaça. Eles precisam ter acesso e autoridade antes que um incidente aconteça.
- Níveis avançados de habilidades: você precisa de uma equipe com a experiência e as habilidades para lidar com o que vier do seu jeito – ter um nível adequado de conhecimento é fundamental.
Cada violação começa com uma pequena questão
Murphy explica que confiar apenas na priorização de ameaças pode fazer com que as organizações percam algo crucial. Ele diz: “As organizações podem estar cometendo um erro ao ignorar ou filtrar detecções de baixa prioridade – perdendo a oportunidade de conter e remediar um incidente antes que ele se torne uma crise ou uma grande violação”.
O que é remediação?
Murphy também explica como ele e sua equipe definem a remediação, dizendo: “Não é apenas colocar em quarentena um arquivo malicioso – estamos falando sobre o processo e a disciplina envolvidos.” Ele define esse processo como uma série de etapas que inclui:
- Respondedores de incidentes que fazem triagem e investigam ameaças
- Determinando a causa raiz técnica
- Endereçando toda a cadeia de ataque
- Removendo Mecanismos de Persistência e Interrompendo Processos Ativos
- Realizando todas essas etapas sem interromper os usuários
Ele enfatiza que o objetivo é atingir a máxima eficácia com o mínimo de interrupção, e explica ainda que, embora muitas organizações dependam de recriar a imagem dos computadores para se recuperar de um ataque, é um processo demorado e disruptivo. Mais importante: se você tiver as ferramentas certas e os planos adequados, isso geralmente é desnecessário.
Estudos de caso de ataque
O webcast inclui estudos de caso detalhados de dois ataques onde investigação e remediação foram manipulados pelo CrowdStrike ® Falcon ® equipe completa ™.
Emotet Attack
O primeiro caso que Murphy apresenta é um ataque Emotet, que levou a um incidente de ransomware “Big Game Hunting” que foi particularmente virulento, prejudicial e doloroso para remediar. Ele explicou que o adversário do Emotet (que o CrowdStrike Intelligence rastreia como MUMMY SPIDER) tem sido uma ameaça generalizada, caracterizada por violações destrutivas que custam até US $ 1 milhão para remediar. Por causa de suas técnicas semelhantes a worms, o Emotet é difícil de lidar. Seu objetivo inicial é roubar o máximo de credenciais possíveis e transformar um endpoint comprometido em muitos.
Fonte: https://www.crowdstrike.com/blog/making-60-minute-remediation-a-reality-webcast/