Michele Crockett

Il NIST raccomanda soluzioni complementari, come una squadra di supereroi della sicurezza.

Per riuscire a proteggere i dati della vostra azienda contro il ransomware, è necessario procedere come se come se steste una squadra di supereroi. Ogni membro della squadra ha un potere unico che individualmente appare limitato. Ma insieme possono sconfiggere il male.

Il numero di cyberattacchi continua a crescere, ae attaccanti tattiche degli aggressori diventano sempre più sofisticate e innovative, le aziende si sentono comprensibilmente in inferiorità numerica in questa battaglia. Ogni settimana, sempre più esempi di violazioni della sicurezza fanno notizia a livello mondiale, trasformando marchi come SolarWinds SolarWinds in nomi famosi, anche se per i motivi sbagliati.

Il tributo finanziario di queste violazioni è impressionante. Il Ponemon Institute riporta che un'organizzazione su quattro subirà una violazione dei dati nel prossimo anno e che il costo medio di queste violazioni è di 3,92 milioni di dollari ciascuna. Inoltre, ci vogliono in media 206 giorni per identificare una violazione e 73 giorni per contenerla.

L'ondata di rapporti sui cyberattacchi è scoraggiante, ma sono disponibili risorse per aiutare le aziende ad affrontare sistematicamente le minacce.

Informazioni sulle guide pratiche sull'integrità dei dati SP 1800-25 e SP 1800-26 del NIST

A Una serie di guide pratiche pubblicate dal National Institute of Standards and Technology (NIST) evidenzia l'efficacia dell'utilizzo di l'utilizzo di tecnologie complementari per affrontare le minacce-in altre parole, utilizzando un team di supererois di supereroi per per aiutarvi a combattere il nemico. Queste guide trattano l'identificazione e la protezione delle risorse contro il ransomware e l'individuazione e la risposta agli attacchi informatici. attacchi informatici:

Per dimostrare una soluzione esemplificativa che aiuterebbe le aziende a proteggere i propri dati aziendali critici dal ransomware - una sola forma di potenziale attacco all'integrità dei dati - il NIST è in grado di fornire un esempio di soluzione.IL NIST ha riunito le capacità di una manciata di fornitori di sicurezza, tra cui Cisco, Symantec e Semperis.

Ecco alcuni esempi di come il progetto NIST sighiere riunisce le competenze dei fornitori per affrontare i diversi aspetti del rilevamento e della risposta alle minacce ransomware (una delle due aree di interesse della guida pratica). Tripwire e Semperis forniscono il monitoraggio dell'integrità. Cisco, Glasswalle Semperis contribuiscono al rilevamento degli eventi, compresa la capacità di monitorare le anomalie degli utenti, di scansionare gli allegati di posta elettronica per individuare le deviazioni dei file e di rilevare staticamente o dinamicamente il software dannoso. Micro Focus e Tripwire offrono funzionalità di registrazione. Cisco, Symantec e Micro Focus forniscono informazioni forensi e analitiche, ad esempio sugli effetti delle minacce informatiche, sul traffico di rete e sulle anomalie nell'attività aziendale.

In altre parole, riunire questi fornitori è come assemblare i Vendicatori.

Superpoteri alla mano, il NIST ha intrapreso un'ambiziosa missione per guidare le organizzazioni verso metodi pratici di protezione dell'integrità dei dati dal ransomware.

Esempio NIST caso d'uso: Allegati di e-mail dannose

Per illustrare come NIST ha riunito le soluzioni più importanti per affrontare il ransomware, approfondiamo un esempio tratto da una delle guide pratiche: il rilevamento e la risposta al ransomware. Uno scenario IL NIST identificas iè la "creazione di backdoor tramite vettore e-mail." In questo scenario un utente apre un allegato dannoso a un'e-mail (cosa non rara)e tl'allegato recupera i file da un server Web esterno. Questi file creano quindi account sul server di autenticazione. La soluzione a questo problema, definita nel documento NIST NIST includes una combinazione di attività:

  • Registrazione e reportistica (in modo che il team di sicurezza possa agire sugli avvisi)
  • Rilevamento degli eventi in due momenti: prima che l'allegato raggiunga la casella di posta dell'utente e dopo che è stato scaricato nel sistema. sistema
  • Mitigazione e contenimento
  • Forensics and analytics, definita in questo caso d'uso come la capacità di visualizzare il traffico di rete mentre l'allegato recupera i file dannosi dal server web. server

Per questo caso d'uso, diversi fornitori (tra cui Semperis) hanno avuto ruoli nel monitoraggio dell'integrità, tra cui la fornitura di hash di file e controlli di integrità per file e software, il monitoraggio dell'integrità dei dati e il monitoraggio dell'integrità di Active Directory.

Il NIST avverte: attenzione alla "natura sensibile di AD"

Nel descrivere la risoluzione di questo caso d'uso, il punto guidas l'importanza di tracciare le modifiche di Active Directory come parte del monitoraggio dell'integrità, e non in un modo che si basa su un'unica fonte di informazioni, ma su molteplici aspetti di AD.

Citando la "natura sensibile dell'AD", la guida del NIST raccomanda dis di tracciare sia il download dannoso che le modifiche apportate alla struttura dell'account. Questo approccio sfaccettato cattura qualsiasi modifica alle autorizzazioni o alle credenziali privilegiate, nonché qualsiasi modifica che gli hacker cercano di nascondere eludendo l'auditing di sicurezza.

La soluzione di esempio del NIST forniscesSecondo il rapporto, "diversi livelli di difesa" contro vari casi d'uso del ransomware.

Il risultato principale del progetto NIST: È necessario un insieme di approcci e soluzioni che affrontino ciascuno un aspetto diverso dello scudo di sicurezza. Nessun prodotto è in grado di fornire tutti i pezzi del puzzle della sicurezza. Ma con una comprensione completa di come questi pezzi si incastrano tra loro, è possibile proteggere i dati della propria azienda da attacchi dannosi.

Verifica dello scudo di sicurezza

Così come Loki mette costantemente alla prova il collettivo Avengersè necessario testare la propria difesa contro gli attacchi ransomware all'integrità dei dati dell'organizzazione.

Ma molte aziende non seguono i piani di test. In un sondaggio condotto da Semperis tra professionisti della sicurezza informatica, leader IAM e dirigenti di livello C, molti intervistati hanno dichiarato di "avere un piano di ripristino informatico AD ma di non averlo mai testato". 

Non lasciate che lasciare che questo accada a voi. La soluzione di esempio del NIST fornisce indicazioni pratiche sugli scenari comuni e sulle capacità necessarie per affrontare la minaccia del ransomware. È possibile utilizzare i passaggi della guida NIST per replicare la soluzione pratica e testarla nel proprio ambiente.

E mentre NIST non non approva esplicitamente i prodotti utilizzati, la guida mostra come i ricercatori abbiano messo insieme le soluzioni per formare una difesa coesa contro i casi d'uso del ransomware. Il NIST ricercatori raccomandano di utilizzare la guida come punto di partenza per la formulazione di un piano adatto al proprio ambiente, composto da una serie di prodotti che soddisfino le esigenze dell'organizzazione.

Avete rimandato l'esecuzione di un test approfondito delle vostre difese contro il ransomware? Questa mancanza di preparazione non vi farà superare il tipo di battaglia epica affrontata dalle aziende vittime di ransomware.

Come Thor, dovete mettere insieme una squadra di supereroi per per salvare la vostra azienda dall'assalto dei criminali informatici.