Threat Intelligence Best Practices voor Lean IT Organisaties: Deel 2

Noot van de redactie: Voor professionals op het gebied van cyberbeveiliging gaat het bij bedreigingsinformatie ( ) niet alleen om het reageren op indicatoren van compromittering ( ) nadat deze een organisatie al hebben getroffen.

In een recent gesprek met Black Hat-redacteur Terry Sweeney voor hun Executive Interview Series legde Josh Douglas, VP Threat Intelligence bij Mimecast, uit hoe echte bedreigingsinformatie een holistische, geïntegreerde aanpak vereist die verschuivingen in de organisatiecultuur omvat naast technologische verbeteringen.

Wat volgt is een bewerkt transcript van een deel van de discussie. Hier is deel 1 van de discussie . U kunt de volledige discussie hier bekijken .

V: U had het over cultuur. Zoals elke infosec-professional weet, is dat over het algemeen moeilijk te veranderen, maar toch is het een essentieel onderdeel van het verbeteren van de algehele IT- en beveiligingspositie van een organisatie. Wat voor soort culturele verschuivingen en training zijn belangrijk om hier te initiëren en aan te moedigen?

A: Ik denk dat er twee manieren zijn om dit te bekijken. De ene is een strategie die je volgt op basis van wat je probeert er uit te halen, en de andere is het tactische item dat je benadert. Laten we het eerst over de tactische aanpak hebben. Vaak proberen we mensen met een stok tot onderwerping te dwingen op het gebied van veiligheid, terwijl we eigenlijk de wortel zouden moeten gebruiken. Daarmee bedoel ik dat je mensen op de juiste manier moet betrekken, en dat komt in het strategische gesprek.

Bij Mimecast beschouwen we dat engagement van de cultuur als drie dingen: het is engagement, het is kennis en het is sentiment. In essentie is awareness training vandaag de dag in verval geraakt omdat mensen er niet bij betrokken willen zijn. Als beveiligingsprofessionals gebruiken we vaak de stok, maar we betrekken de gebruikers er ook niet bij. We moeten dus een goede manier vinden, of het nu met humor is of met een ander aspect, om werknemers te engageren.

Als ze eenmaal betrokken zijn, zal de kennis toenemen. En wanneer de kennis toeneemt, zal het sentiment toenemen, wat uiteindelijk menselijke fouten vermindert . Dit is iets dat we bij de massa's van onze klanten hebben onderzocht en het werkt absoluut. Dat is wanneer de werknemers meer betrokken raken en ze beginnen een verlengstuk van het beveiligingsteam te worden. Het is een opwindend mechanisme om de dynamiek rond cultuur te beginnen veranderen.

V: Dat lijkt te passen in een andere verschuiving in de strategie die u hebt bepleit rond de vraag aan beveiligingsteams om te proberen de intentie van indringers te onderscheiden. Hoe werkt dat precies en hoe verschuift dat het gesprek over beveiligingsstrategie?

A: Als beveiligingsprofessionals zijn we vaak erg gefocust op beveiliging, beveiliging, beveiliging. We denken niet na over de zakelijke aspecten die aan de orde zijn. We verplaatsen ons niet in de mensen met wie we werken, laat staan in de vijand die het op de mensen gemunt heeft waarmee we zakelijk samenwerken.

We richten ons dus vaak meer op toeschrijving als we denken aan bedreigingen, maar voor de meeste bedrijven zal dat nergens toe leiden. Ze kunnen die individuen niet aanklagen. Ze zullen niet in staat zijn om actie tegen hen te ondernemen om het te stoppen. Wat ze wel kunnen doen is de kans verkleinen dat ze doelwit worden door te begrijpen waar ze op uit zijn.

Als ik een fabrikant ben en een soort widget maak voor een nutsbedrijf, ben ik meer dan waarschijnlijk betrokken bij die keten , wat betekent dat het breder is dan ik. Het betekent, denkend aan het aspect van, wie is de downstream ontvanger van deze aanval? Het kan het energiebedrijf zijn. Als je daarover begint na te denken, kun je een strategie ontwikkelen gebaseerd op: "Wat zijn de belangrijkste data elementen in mijn bedrijf? Hoe bewaar ik die? Hoe zorg ik voor bedrijfscontinuïteit mocht er iets misgaan, zodat het fundamentele onderdeel dat ik lever niet alleen geen gevolgen heeft voor mij, maar ook niet voor mijn klant?"

V: Het klinkt alsof u wilt dat klanten beter begrijpen wat hun aanvalsrisico is en ook wat hen aantrekkelijk maakt als doelwit. Als ze die zaken eenmaal beter onder de knie hebben, wat doen ze dan?

A: Zij kunnen die routekaart - dat strategisch plan - opstellen om in staat te zijn sommige van die lacunes te dichten . Niet alles zal morgen veranderen. Elke beveiligingsprofessional die op dag 1 is binnengestapt, kan je vertellen dat het operationaliseren van beveiliging niet onmiddellijk gebeurt. Toegegeven, als je een partner hebt die een soort platform kan bieden, zoals Mimecast vandaag doet, wordt een deel van die tijd verkort, [items zoals] de tactische items rond bedreigingsinformatie , in staat zijn om malware te stoppen - die gebeuren veel sneller.

Op die manier kunt u zich gaan richten op de belangrijkste zaken binnen uw bedrijfsmuren. "Moet ik de mensen trainen om zich meer bewust te zijn van deze beveiligingsproblemen? Moet ik patches aanbrengen op deze systemen binnen mijn omgeving omdat ze worden beschouwd als een doelwit met een hoge waarde voor een tegenstander? Moet ik een bepaald engagementmodel hebben, of zelfs lid worden van een ISAC met betrekking tot de energie- of nutssector - of wat het ook moge zijn?"

Als ik ruimer denk, heb ik nu een routekaart die ik kan volgen en kan ik beginnen de kloof te dichten. Wat je zult zien gebeuren - en ik heb dit zelf aan den lijve ondervonden - is dat wanneer je de kloof met de tegenstander dicht, de aanvallen zullen afnemen en zij hun aandacht zullen verleggen naar een zachter doelwit. Uiteindelijk is dat het doel waar je achteraan moet, hoe je het hen moeilijker maakt om achter jou aan te gaan.