นักวิจัยด้านภัยคุกคามของเราที่ Lares พบข้อบกพร่องด้านความปลอดภัยและช่องโหว่ต่างๆ มากมายเมื่อเราดำเนินการฝึกปฏิบัติ Purple Team ในนามของลูกค้าของเรา เมื่อเวลาผ่านไป ข้อผิดพลาดที่ไม่ได้บังคับใช้เดียวกันนี้ดูเหมือนจะเกิดขึ้นบ่อยครั้งจนเราเตือนทีมรักษาความปลอดภัยให้พัฒนาแนวปฏิบัติที่เป็นมาตรฐานเพื่อป้องกันข้อผิดพลาดดังกล่าว
หน่วยความร่วมมือ Lares Adversarial ช่วยเหลือลูกค้าด้วยภารกิจการทำงานร่วมกันเชิงป้องกันและการประเมินทีมสีม่วง ซึ่งผสมผสานเทคนิคการรุกและการป้องกันเพื่อเสริมการป้องกันความปลอดภัย ทีมสีแดงจำลองผู้โจมตีจากภายนอกหรือภายใน ในขณะที่ทีมสีน้ำเงินทำหน้าที่เป็นผู้ปกป้องความปลอดภัยภายใน ทีมสีม่วงช่วยเหลือทั้งสองฝ่ายโดยจัดกลยุทธ์การป้องกันของทีมสีน้ำเงินให้สอดคล้องกับการคุกคามที่ทีมสีแดงพยายาม
เมื่อเร็วๆ นี้เราได้เผยแพร่งานวิจัยใหม่ที่เน้นการค้นพบทีมสีม่วง 5 อันดับแรกที่เราพบการมีส่วนร่วมของลูกค้ามากกว่าร้อยครั้ง ในปีที่ผ่านมา ข้อผิดพลาดที่หลีกเลี่ยงได้โดยทั่วไป ได้แก่ การบันทึกเหตุการณ์ที่ไม่เพียงพอหรือไม่จำเป็น ขาดความรู้ด้านความปลอดภัยเชิงรุก ความสัมพันธ์แบบพึ่งพาอาศัยกันใน Security Operations Center (SOC); การพึ่งพาเครื่องมือที่ไม่ดีต่อสุขภาพ และการทุ่มเงินที่ดีหลังจากแย่
เพื่อปกป้ององค์กรอย่างเหมาะสม ผู้เชี่ยวชาญด้านความปลอดภัยจำเป็นต้องตระหนักถึงภัยคุกคามล่าสุดและวิธีรับมือ นอกจากนี้ กองหลังควรหลีกเลี่ยงการพึ่งพาเครื่องมือและมุ่งเน้นไปที่การพัฒนาทักษะที่จำเป็นซึ่งไม่สามารถหรือไม่ควรจ้างคนภายนอกแทน
ประเด็นสำคัญ 5 อันดับแรกจากการวิจัยของทีม Lares Purple
การบันทึกเหตุการณ์ไม่เพียงพอหรือไม่จำเป็น: เหตุการณ์เป็นส่วนสำคัญของการรักษาความปลอดภัยขององค์กร องค์กรหลายแห่งควรให้ความสำคัญกับเหตุการณ์บันทึกที่สำคัญ หรือรวบรวมเหตุการณ์ที่ไม่จำเป็นมากเกินไปจนเต็มพื้นที่จัดเก็บและบดบังข้อมูลสำคัญ ด้วยความไม่ตั้งใจ พวกเขาอาจมองข้ามสัญญาณสำคัญของกิจกรรมที่เป็นอันตราย องค์กรควรเลือกเหตุการณ์ที่พวกเขารวบรวมอย่างระมัดระวังเพื่อหลีกเลี่ยงปัญหาเหล่านี้ และตรวจสอบให้แน่ใจว่าจุดข้อมูลที่รวบรวมทั้งหมดนั้นเกี่ยวข้องกับความต้องการด้านความปลอดภัย ในการทำเช่นนั้น พวกเขาสามารถสร้างระบบตรวจจับและตอบสนองที่มีประสิทธิภาพ และปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม
ขาดความรู้ด้านความปลอดภัยที่น่ารังเกียจ: การตรวจสอบสภาพแวดล้อมขององค์กรเพื่อหาภัยคุกคามที่อาจเกิดขึ้นนั้นต้องการมากกว่า เพียงความเข้าใจพื้นฐานของกลยุทธ์ เทคนิค และกระบวนการของฝ่ายตรงข้าม (TTP) สิ่งสำคัญคือต้องระบุเวลาและวิธีที่ TTP เหล่านี้ถูกใช้เพื่อดำเนินการที่เหมาะสมเพื่อปกป้ององค์กร ตัวอย่างเช่น การกำกับดูแลความปลอดภัยอาจจำเป็นต้องมีการตรวจสอบการสื่อสารภายในเพื่อระบุตัวบ่งชี้ที่เป็นไปได้ของกิจกรรมที่เป็นอันตราย การมีความเข้าใจอย่างถ่องแท้เกี่ยวกับสภาพแวดล้อมขององค์กรและ TTP ของฝ่ายตรงข้าม บุคคลที่ได้รับมอบหมายให้ตรวจสอบสามารถตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพมากขึ้น
ความสัมพันธ์แบบพึ่งพาอาศัยกันใน SOC: การดำเนินการด้านความปลอดภัยที่มีการจัดการจำนวนมาก ศูนย์ (SOCs) แนะนำปัญหาใหม่สำหรับทีมป้องกันแทนที่จะแก้ปัญหา สิ่งนี้เกิดขึ้นบ่อยครั้งเนื่องจาก SOC ที่มีการจัดการต่อสู้กับความล่าช้าในการแจ้งเตือนที่มากเกินไป ระงับเหตุการณ์สำคัญ และพวกเขาไม่สามารถแนะนำการวัดและส่งข้อมูลทางไกลที่สำคัญได้
ความล่าช้าในการแจ้งเตือนเกิดขึ้นเมื่อ SOC ที่มีการจัดการไม่สามารถกำหนดค่าเครื่องมือและเทคโนโลยีอย่างเหมาะสมเพื่อตรวจจับและตอบสนอง ถึงเหตุการณ์ด้านความปลอดภัย เหตุการณ์ที่สามารถใช้เพื่อขัดขวางการโจมตีนั้นล่าช้าหรือไม่เคยเห็นเลย นอกจากนี้ SOC ที่มีการจัดการมักจะระงับเหตุการณ์สำคัญเนื่องจากแรงกดดันจากผู้บริหารระดับสูงหรือลูกค้าภายนอก สุดท้าย SOC ที่มีการจัดการมักจะล้มเหลวในการแนะนำมาตรวัดระยะไกลที่สำคัญต่อเหตุการณ์ นี่เป็นเพราะพวกเขาขับเคลื่อนโดยเมตริกที่ไม่จำเป็นต้องสะท้อนถึงผลกระทบในโลกแห่งความเป็นจริงของเหตุการณ์ด้านความปลอดภัย เป็นผลให้ SOC ที่มีการจัดการจำนวนมากล้มเหลวในการให้ข้อมูลเชิงลึกและข้อมูลที่จำเป็นในการทำความเข้าใจและระบุสาเหตุของภัยคุกคามด้านความปลอดภัย
การพึ่งพาเครื่องมือที่ไม่มีประสิทธิภาพ: ปัญหาอีกประการหนึ่งเกี่ยวข้องกับผู้ปกป้องที่ พึ่งพาโซลูชัน Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) มากเกินไป โดยคาดหวังให้พวกเขาค้นหาผู้กระทำผิดทั้งหมด ความคิดนี้อาจนำไปสู่ผลบวกที่ผิดพลาดและการระบุแหล่งที่มาที่ไม่ถูกต้อง ควรมองว่า EDR และ XDR เป็นส่วนหนึ่งของโซลูชันการรักษาความปลอดภัยที่กว้างขึ้น ไม่ใช่จุดเดียวในการตรวจสอบ การใช้วิธีรักษาความปลอดภัยแบบองค์รวมมากขึ้นเท่านั้นที่องค์กรจะสามารถนำหน้าแนวภัยคุกคามได้
การทุ่มเงินที่ดีหลังจากที่แย่: เป็นเรื่องปกติเช่นกันที่องค์กรจะจ้างบุคคลภายนอกที่มีความรู้เมื่อ มาถึงมาตรการป้องกัน แม้ว่านี่อาจดูเหมือนวิธีแก้ปัญหาที่ง่ายที่สุด แต่มันส่งผลเสียมากกว่าผลดีโดยการขัดขวางพนักงานจากการเรียนรู้ทักษะที่จำเป็นเพื่อให้มีประสิทธิภาพและทำให้บริษัทต้องเสียเงินมากขึ้นเมื่อเวลาผ่านไป แทนที่จะใช้ความรู้ด้านความปลอดภัยทั้งหมดจากภายนอก บริษัทต่างๆ ควรลงทุนในพนักงานของตนและปล่อยให้พวกเขาเรียนรู้และเติบโต นอกจากนี้ บริษัทต่างๆ ควรใช้มาตรการตรวจจับและป้องกันที่เชื่อมโยงโดยตรงกับวิธีการและกลไกของฝ่ายตรงข้าม วิธีการนี้ช่วยให้พนักงานได้รับทักษะที่จำเป็นต่อการประสบความสำเร็จในขณะที่ประหยัดเงินให้กับองค์กรได้มากขึ้นในระยะยาว
ในสภาพแวดล้อมการรักษาความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน จำเป็นต้องมีมากกว่าการทำความเข้าใจกลยุทธ์ของฝ่ายตรงข้าม ทีมรักษาความปลอดภัยจำเป็นต้องคำนึงถึงปัญหาที่อาจเกิดขึ้นจากมาตรการป้องกันของตนเองเช่นกัน
เครดิตรูปภาพ: Wayne Williams
Andrew Hay คือ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Lares