Novo webcast sob demanda apresenta o vice-presidente de serviços gerenciados da CrowdStrike, Austin Murphy e o diretor de produto sênior, Con Mallon, discutindo como as organizações podem aproveitar a tecnologia e a velocidade para responder a incidentes dentro da janela de tempo de intervalo.

 

Como discutido na CrowdStrike ® 2019 Global Threat Report, a velocidade é um fator crítico para ficar à frente das ameaças em rápida evolução de hoje. E enquanto a velocidade não é um conceito novo em segurança cibernética e os defensores há muito entenderam sua importância, ela não foi bem definida devido à falta de medições e dados. A CrowdStrike procura remediar isso introduzindo medidas como o tempo de intervalo – que é a janela de tempo de quando um adversário, primeiro compromete uma máquina até quando ela começa a se mover lateralmente pela rede – e sugere a “ regra 1-10-60”. Ambas as quais transmitem mais precisamente o nível de velocidade necessário para derrotar o adversário.

O tempo de breakout é discutido em detalhes em um blog recente , e outro recente CrowdCast detalha como adotar a “regra 1-10-60” como uma referência para alcançar a velocidade necessária para derrotar um adversário sofisticado e interromper a violação. A regra exige: um minuto para detectar, 10 minutos para investigar e 60 minutos para remediar.

A importância da regra 1-10-60

Mallon inicia o webcast delineando as principais descobertas do Relatório Global de Ameaças que orientam a necessidade de se atingir a regra 1-10-60, como segue:

• Hoje é a “sobrevivência do mais rápido”, porque o malware não é o único problema em segurança cibernética – a velocidade é cada vez mais crítica.
• Os ataques de estado-nação continuam inabaláveis: as sofisticadas técnicas de intrusão direcionada estão encontrando seu caminho para o mainstream, e as empresas comerciais estão cada vez mais em risco, especialmente indústrias como hospitalidade e telecomunicações.
• Grupos de eCrime estão colaborando mais do que nunca – lançando ataques maciços de “Big Game Hunting” que geram maiores retornos.

Ele então discute como os ataques podem ser divididos em cinco estágios: acesso inicial, persistência, descoberta, movimento lateral e objetivo – explicando que a regra 1-10-60 deve ser aplicada antes que o movimento lateral seja alcançado.

Linha do tempo de resposta a incidentes

Mallon também descreve o cronograma de resposta a incidentes e os estágios que devem ocorrer para que a correção ocorra dentro do período 1-10-60. As etapas incluem:

• • Detecção – Encontrar uma ameaça ou atividade suspeita. As organizações têm um minuto para conseguir isso.
  • Compreensão – Qual é o contexto da ameaça? Como isso funciona? Quais são seus objetivos? As organizações têm 10 minutos para concluir essa análise.
  • Contenção e Erradicação – Evitar que a infecção se espalhe e erradicar do ambiente. As organizações têm 60 minutos para atingir esse objetivo.
    

    O tempo de espera é desafiador

    Mallon aponta o desafio de tempos de permanência prolongados que as organizações estão enfrentando – vários casos que a CrowdStrike lidou ilustram esse fato e estão incluídos no Livro de Casos de Intrusão Cibernética da CrowdStrike Services . “Descobrimos que o tempo de permanência dos incidentes em que estivemos envolvidos em 2018 era de 85 dias – portanto, há um enorme desequilíbrio entre os adversários e aqueles de nós que estão defendendo as organizações”, diz ele.

    “Eles estão se movendo à taxa de horas, enquanto as organizações estão se movendo em um ritmo de dias, semanas e até meses.” Ele também aponta que, enquanto a regra 1-10-60 recomenda que a detecção seja alcançada em um minuto, um Uma recente pesquisa global conduzida pela CrowdStrike descobriu que leva em média 63 horas para as organizações detectarem ameaças. Mallon diz: “Isso traz um alívio maior à noção de que os adversários estão fortalecendo sua posição – o desequilíbrio é claro”.

    Como as organizações podem atender a essas métricas críticas?

    O restante do webcast é conduzido por Murphy, que se concentra em como as organizações podem se preparar para se defender dos processos de ataque acelerados de hoje e enfrentar o desafio da regra 1-10-60.

    Ele começa explicando os recursos críticos que qualquer organização precisa para responder de forma rápida e eficaz a um evento – eles incluem:

    • Operações 24/7/365: as equipes precisam estar disponíveis para responder a ameaças e, se você tiver uma organização global, precisará pensar em fusos horários diferentes quando seus usuários estiverem ativos e abrir e-mails, clicar em links, etc.
    • Centro de Operações de Segurança Dedicado (SOC):  Você precisa de uma equipe focada na segurança e na criação de “memória muscular” em torno das tarefas necessárias para lidar com as ameaças.
    • Processo em vigor: as  organizações precisam implementar um processo antes que um incidente ocorra. Isso significa criar um manual, documentando quais ações serão autorizadas e quais tarefas são necessárias.
    • Equipes de segurança com acesso direto a endpoints:  sua equipe de segurança precisa de acesso técnico e autoridade para fazer alterações. Eles podem precisar conectar-se a um servidor remotamente e excluir um arquivo ou isolar um sistema que represente uma ameaça. Eles precisam ter acesso e autoridade antes que um incidente aconteça.
    • Níveis avançados de habilidades: você precisa de uma equipe com a experiência e as habilidades para lidar com o que vier do seu jeito – ter um nível adequado de conhecimento é fundamental.

    Cada violação começa com uma pequena questão

    Murphy explica que confiar apenas na priorização de ameaças pode fazer com que as organizações percam algo crucial. Ele diz: “As organizações podem estar cometendo um erro ao ignorar ou filtrar detecções de baixa prioridade – perdendo a oportunidade de conter e remediar um incidente antes que ele se torne uma crise ou uma grande violação”.

    O que é remediação?

    Murphy também explica como ele e sua equipe definem a remediação, dizendo: “Não é apenas colocar em quarentena um arquivo malicioso – estamos falando sobre o processo e a disciplina envolvidos.” Ele define esse processo como uma série de etapas que inclui:

    • Respondedores de incidentes que fazem triagem e investigam ameaças
    • Determinando a causa raiz técnica
    • Endereçando toda a cadeia de ataque
    • Removendo Mecanismos de Persistência e Interrompendo Processos Ativos
    • Realizando todas essas etapas sem interromper os usuários

    Ele enfatiza que o objetivo é atingir a máxima eficácia com o mínimo de interrupção, e explica ainda que, embora muitas organizações dependam de recriar a imagem dos computadores para se recuperar de um ataque, é um processo demorado e disruptivo. Mais importante: se você tiver as ferramentas certas e os planos adequados, isso geralmente é desnecessário.

    Estudos de caso de ataque

    O webcast inclui estudos de caso detalhados de dois ataques onde investigação e remediação foram manipulados pelo CrowdStrike ® Falcon ® equipe completa ™.

    Emotet Attack

    O primeiro caso que Murphy apresenta é um ataque Emotet, que levou a um incidente de ransomware “Big Game Hunting” que foi particularmente virulento, prejudicial e doloroso para remediar. Ele explicou que o adversário do Emotet (que o CrowdStrike Intelligence rastreia como MUMMY SPIDER) tem sido uma ameaça generalizada, caracterizada por violações destrutivas que custam até US $ 1 milhão para remediar. Por causa de suas técnicas semelhantes a worms, o Emotet é difícil de lidar. Seu objetivo inicial é roubar o máximo de credenciais possíveis e transformar um endpoint comprometido em muitos.

    Fonte: https://www.crowdstrike.com/blog/making-60-minute-remediation-a-reality-webcast/