Introducere in Cyber Security

Introducere in Cyber Security
Day 2
BA
by Birzu Adrian
 
Noțiuni de bază ale Blue Teaming
Blue teaming-ul este practica de a apăra în mod proactiv sistemele digitale și rețelele împotriva potențialelor amenințări cibernetice. Acest lucru implică implementarea unor măsuri de securitate robuste, monitorizarea continuă a anomaliilor și răspunsul rapid pentru a atenua impactul atacurilor.
Responsabilitățile unui membru al echipei Blue
Apărare proactivă: Membrii echipei Blue sunt responsabili pentru implementarea unor măsuri de securitate robuste, cum ar fi firewalluri, sisteme de detectare a intruziunilor și managementul vulnerabilităților, pentru a se apăra în mod proactiv împotriva potențialelor amenințări cibernetice.
Monitorizare continuă: Ei monitorizează îndeaproape sistemele digitale și rețelele organizației, analizând jurnalele și alertele de securitate pentru a detecta orice activitate anormală sau comportament suspect care ar putea indica o breșă de securitate.
Răspuns la incidente: Atunci când se produce un incident de securitate, membrii echipei Blue se mobilizează imediat, urmând protocoalele bine definite de răspuns la incidente pentru a limita daunele, a investiga cauza rădăcină și a restabili operațiunile normale cât mai repede posibil.
Colaborare și comunicare: Membrii echipei Blue lucrează îndeaproape cu alți profesioniști în securitate, cum ar fi echipa Red și echipa Purple, pentru a partaja informații, a coordona eforturile de răspuns și a asigura o abordare cuprinzătoare a securității cibernetice.
Învățare continuă: Menținerea la zi cu cele mai recente tendințe, tehnici și tehnologii în materie de securitate este esențială pentru membrii echipei Blue, care trebuie să se adapteze constant la peisajul amenințărilor în evoluție.
Cadrul MITRE ATT&CK
Cadrul ATT&CK al MITRE este o bază de cunoștințe cuprinzătoare și selectată a tactitilor și tehnicilor adversarilor, pe baza observațiilor din lumea reală. Acesta oferă o taxonomie și o structură comune pentru a înțelege spectrul complet al comportamentelor adversariale și servește drept o resursă valoroasă pentru organizații pentru a-și îmbunătăți apărarea cibernetică.
Cadrul clasifică comportamentul adversarului în 14 tactici de nivel ridicat, cum ar fi Accesul Inițial, Persistența, Escaladarea Privilegiilor și Mișcarea Laterală. Fiecare tactică este împărțită mai departe în tehnici specifice care descriu modul în care un adversar ar putea îndeplini un anumit obiectiv. Această abordare structurată ajută echipele de securitate să identifice vulnerabilitățile potențiale, să dezvolte strategii de detectare și prevenire și să îmbunătățească gradul general de conștientizare a amenințărilor.
Prin maparea Cadrul MITRE ATT&CK la controalele și capabilitățile de monitorizare a securității unei organizații, echipele de securitate pot înțelege mai bine postura lor de apărare, pot identifica lacunele și pot prioritiza îmbunătățirile. Cadrul este larg adoptat de profesioniștii în domeniul securității cibernetice și de organizațiile de toate dimensiunile, servind drept limbaj comun și punct de referință pentru intelligence-ul amenințărilor, răspunsul la incidente și managementul riscurilor.
Cadrul MITRE ATT&CK este împărțit în 14 tactici de nivel înalt care descriu diferitele faze ale unui atac. Aceste tactici includ:
Acces Inițial
Executare
Persistență
Escaladarea Privilegiilor
Evitarea Apărării
Acces la Credențiale
Descoperire
Mișcare Laterală
Colectare
Command and Control
Exfiltrare
Impact
Recunoaștere
Dezvoltarea Resurselor
Fiecare tactică este împărțită mai departe în tehnici specifice, care descriu diversele metode pe care un adversar le-ar putea utiliza pentru a-și atinge obiectivele. Înțelegând aceste tactici și tehnici, echipele de securitate pot dezvolta strategii de detectare și prevenire mai eficiente pentru a-și proteja organizația.
Noțiuni de bază ale Red Teaming-ului
Red teaming-ul este o abordare proactivă a securității cibernetice care implică simularea atacurilor din lumea reală pentru a identifica vulnerabilități și puncte slabe în postura de securitate a unei organizații. Adoptând mentalitatea unui adversar, membrii echipei Red lucrează pentru a expune lacunele și punctele oarbe care ar putea fi exploatate de actori rău-intenționați.
Responsabilitățile unui membru al echipei Red
Membrii echipei Red joacă un rol esențial în îmbunătățirea posturii de securitate cibernetică a unei organizații prin simularea atacurilor din lumea reală. Printre responsabilitățile lor principale se numără testarea de penetrare, evaluarea vulnerabilităților și exercițiile de red teaming. Aceste activități implică o analiză minuțioasă a sistemelor, rețelelor și controalelor de securitate ale organizației-țintă pentru a descoperi potențiale puncte slabe ce ar putea fi exploatate de actori rău-intenționați.
Membrii echipei Red adoptă adesea mentalitatea unui adversar sofisticat, folosind tehnici avansate precum ingineria socială, recunoașterea rețelei și escaladarea privilegiilor pentru a depăși măsurile de securitate și a obține acces neautorizat la date sensibile sau sisteme critice. Prin demonstrarea eficacității acestor vectori de atac, echipa Red oferă informații valoroase care ajută organizațiile să-și consolideze apărarea și să dezvolte planuri de răspuns la incidente mai robuste.
Noțiuni de bază ale Purple Teaming-ului
Purple teaming-ul este o abordare colaborativă a securității cibernetice care combină mentalitatea defensivă a echipelor blue cu tacticile ofensive ale echipelor red. Prin încurajarea cooperării și a comunicării deschise, echipele purple lucrează pentru a îmbunătăți postura generală de securitate a unei organizații prin înțelegerea cuprinzătoare a amenințărilor, vulnerabilităților și a contramăsurilor eficace.
Responsabilitățile unui membru al echipei Purple
Membrii echipei Purple acționează ca o punte esențială între echipa defensivă Blue și echipa ofensivă Red, încurajând colaborarea și comunicarea deschisă pentru a îmbunătăți postura generală de securitate cibernetică a organizației. Printre responsabilitățile lor principale se numără facilitarea exercițiilor comune, coordonarea informațiilor despre amenințări și optimizarea controalelor de securitate.
Prin organizarea unor scenarii simulate de atacuri și intruziuni, membrii echipei Purple permit echipelor Blue și Red să lucreze împreună, să își împărtășească cunoștințele, tacticile și feedback-ul. Acest proces iterativ ajută la identificarea lacunelor de securitate, validarea eficacității contramăsurilor și îmbunătățirea continuă a capacității organizației de a detecta, răspunde și recupera de la amenințările cibernetice reale.
Membrii echipei Purple joacă, de asemenea, un rol esențial în consolidarea informațiilor despre amenințări din diverse surse, inclusiv rapoarte din industrie, avertismente de securitate și constatările atât ale echipei Blue, cât și ale echipei Red. Această înțelegere cuprinzătoare a peisajului amenințărilor permite organizației să își prioritizeze eforturile, să aloce resursele în mod eficient și să rămână cu un pas înaintea actorilor rău-intenționați.
Importanța Blue Teaming-ului
Blue teaming-ul reprezintă coloana vertebrală a eforturilor de securitate cibernetică ale unei organizații, jucând un rol esențial în apărarea proactivă împotriva amenințărilor cibernetice. Prin implementarea unor măsuri de securitate robuste, monitorizarea continuă a anomaliilor și răspunsul rapid la incidente, echipele blue se asigură că activele digitale și datele sensibile ale organizației rămân în siguranță și protejate.
Apărare cuprinzătoare: Echipele blue adoptă o abordare multistratului, utilizând instrumente și tehnici de securitate de ultimă oră pentru a proteja rețelele, punctele terminale și infrastructura cloud ale unei organizații, reducând eficient riscul unor atacuri de succes.
Detectare și atenuare timpurie: Prin monitorizarea vigilentă și capabilitățile analitice avansate, echipele blue sunt adesea prima linie de apărare, detectând și răspunzând la incidentele de securitate înainte ca acestea să poată cauza daune semnificative sau să perturbe operațiunile de afaceri.
Conformitate și respectarea reglementărilor: Echipele blue joacă un rol esențial în asigurarea conformității unei organizații cu reglementările și standardele din industrie, ajutând la evitarea amenzilor costisitoare și a daunelor de reputație asociate încălcărilor de securitate.
Îmbunătățire continuă: Prin analizarea incidentelor de securitate, identificarea vulnerabilităților și implementarea lecțiilor învățate, echipele blue îmbunătățesc în mod continuu postura de securitate cibernetică a organizației, rămânând cu un pas înaintea amenințărilor în evoluție și adaptându-se la peisajul dinamic al amenințărilor.
Importanța Red Teaming-ului
Red teaming-ul joacă un rol esențial în îmbunătățirea posturii de securitate cibernetică a unei organizații prin identificarea vulnerabilităților și expunerea potențialelor vectori de atac. Prin simularea amenințărilor din lumea reală și adoptarea mentalității unui adversar sofisticat, membrii echipei Red oferă informații prețioase care ajută organizațiile să își consolideze apărarea și să dezvolte planuri de răspuns la incidente mai robuste.
Apărare proactivă: Evaluările echipei Red permit organizațiilor să identifice lacunele și punctele slabe de securitate înainte ca acestea să poată fi exploatate de actori rău-intenționați, permițându-le să prioritizeze și să abordeze cele mai urgente riscuri. Această abordare proactivă ajută la prevenirea încălcărilor costisitoare ale datelor și a perturbărilor în operațiunile de afaceri.
Validarea controalelor de securitate: Exercițiile echipei Red validează eficacitatea controalelor de securitate ale unei organizații, testând reziliența sistemelor și proceselor acesteia împotriva tehnicilor avansate de atac. Acest feedback ajută la rafinarea și optimizarea măsurilor de securitate ale organizației, asigurând că acestea pot face față tacticilor în continuă evoluție ale amenințărilor cibernetice.
Importanța Purple Teaming-ului
Purple teaming-ul joacă un rol esențial în îmbunătățirea posturii generale de securitate cibernetică a unei organizații, prin încurajarea colaborării și a comunicării deschise între echipa de apărare blue team și echipa de atac red team. Prin bridging-ul acestui gap, membrii echipei purple se asigură că există o abordare cuprinzătoare și integrată pentru identificarea și atenuarea riscurilor de securitate.
Purple teaming-ul oferă mai multe beneficii-cheie:
Îmbunătățirea detectării și răspunsului la amenințări: Prin combinarea expertizei echipelor blue și red, membrii echipei purple pot dezvolta controale de securitate mai robuste și eficiente, permițând organizației să detecteze, răspundă și să se recupereze de amenințările cibernetice într-o manieră mai eficientă.
Optimizarea continuă a măsurilor de securitate: Procesul iterativ al purple teaming-ului, implicând atacuri simulate și validarea contramăsurilor, permite organizațiilor să rafineze și să îmbunătățească în mod continuu postura lor de securitate, rămânând cu un pas înaintea evoluției tacticilor de amenințare.
Îmbunătățirea inteligenței de amenințare și a colaborării: Membrii echipei purple joacă un rol esențial în consolidarea și partajarea informațiilor despre amenințări, asigurându-se că atât echipa blue, cât și cea red au o înțelegere cuprinzătoare a peisajului amenințărilor și își pot coordona eforturile în mod eficient.
Provocări în Blue Teaming
Blue teaming-ul se confruntă cu mai multe provocări cheie în apărarea eficientă a organizațiilor împotriva amenințărilor cibernetice. Una dintre barierele principale este menținerea ritmului cu peisajul amenințărilor în rapidă evoluție, deoarece actorii rău-intenționați dezvoltă în mod constant noi tehnici și exploatează vulnerabilități emergente. Membrii echipei blue trebuie să își actualizeze în mod continuu abilitățile, instrumentele și măsurile de securitate pentru a fi cu un pas înaintea acestor amenințări în evoluție.
O altă provocare semnificativă este constrângerile de resurse, deoarece organizațiile se confruntă adesea cu dificultăți în alocarea de bugete, personal și resurse tehnologice suficiente pentru a construi o infrastructură solidă de securitate cibernetică. Acest lucru poate limita capacitatea echipei blue de a implementa controale de securitate cuprinzătoare și de a desfășura eforturi complete de răspuns și remediere la incidente.
În plus, comunicarea și colaborarea eficiente între echipa blue și alți factori interesați, cum ar fi liderii de afaceri și utilizatorii finali, pot reprezenta o provocare. Asigurarea faptului că cele mai bune practici de securitate sunt înțelese și adoptate în întreaga organizație este esențială, dar poate fi îngreunată de o lipsă de conștientizare a securității sau de priorități concurente.
Provocări în Red Teaming
Red teaming-ul, deși este o componentă esențială a unei strategii complete de securitate cibernetică, se confruntă cu mai multe provocări cheie. Una dintre barierele principale este peisajul amenințărilor în continuă evoluție. Actorii rău-intenționați dezvoltă în mod constant noi tehnici și exploatează vulnerabilități emergente, forțând membrii echipei red să fie vigilenți și adaptabili, actualizându-și în mod constant abilitățile și tacticile pentru a rămâne în avangardă.
O altă provocare semnificativă constă în câștigarea și menținerea încrederii organizației. Exercițiile de red teaming pot fi percepute uneori ca fiind adversariale sau perturbatoare, în special dacă nu sunt comunicate și aliniate corespunzător cu obiectivele de securitate ale organizației. Membrii echipei red trebuie să lucreze îndeaproape cu echipa blue și cu alți factori interesați pentru a se asigura că activitățile lor sunt bine înțelese și adaugă valoare la postura generală de securitate.
Provocări în Purple Teaming
Purple teaming-ul se confruntă cu un set unic de provocări, deoarece își propune să umple golul dintre echipa de apărare blue team și echipa de atac red team. O piedică cheie este alinierea obiectivelor și mentalităților diferite ale acestor două grupuri, deoarece blue teamers se concentrează pe protecție, în timp ce red teamers accentuează exploatarea. Cultivarea comunicării și colaborării eficiente între aceste echipe poate fi complexă, necesitând o conducere puternică și o înțelegere comună a obiectivelor generale de securitate.
În plus, constrângerile de resurse pot împiedica capacitatea echipei purple de a organiza atacuri simulate cuprinzătoare și de a valida controalele de securitate. Asigurarea bugetului, expertizei și instrumentelor necesare pentru a desfășura exerciții complete de purple teaming poate fi o provocare semnificativă pentru multe organizații. Menținerea ritmului cu peisajul amenințărilor în rapidă evoluție este o altă piedică, deoarece membrii echipei purple trebuie să își adapteze în mod continuu abordarea pentru a ține cont de noi vectori de atac și strategii defensive.
Cele mai bune practici pentru Blue Teaming
Cadre de securitate cuprinzătoare
Echipele blue ar trebui să adopte și să implementeze cadre de securitate robuste, cum ar fi NIST CSF sau CIS Controls, pentru a asigura o abordare holistică și structurată a securității cibernetice. Aceste cadre furnizează un set cuprinzător de controale de securitate și cele mai bune practici pentru a se proteja împotriva unei game largi de amenințări.
Monitorizare automată a securității
Utilizând instrumente și tehnologii avansate de securitate, echipele blue ar trebui să automatizeze monitorizarea și analiza traficului de rețea, a jurnalelor de sistem și a alertelor de securitate. Această abordare proactivă le permite să detecteze și să răspundă rapid la incidentele de securitate potențiale, minimizând impactul asupra organizației.
Dezvoltare continuă a competențelor
Echipele blue trebuie să își îmbunătățească în mod continuu competențele și să își instruiască personalul pentru a ține pasul cu peisajul amenințărilor în evoluție. Investirea în formarea continuă, certificări și dezvoltare profesională asigură că membrii echipei blue dețin expertiza și instrumentele necesare pentru a se apăra eficient împotriva celor mai recente amenințări cibernetice.
Cele mai bune practici pentru Purple Teaming
Mentalitate Colaborativă
Un purple teaming eficient necesită o mentalitate colaborativă, în care echipele blue și red lucrează împreună în mod armonios pentru a identifica și a aborda vulnerabilitățile de securitate. Acest lucru începe cu o comunicare deschisă, obiective comune și un angajament de a îmbunătăți starea generală de securitate a organizației.
Evaluări Iterative
Purple teaming ar trebui să fie un proces iterativ, cu evaluări regulate și cicluri continue de feedback. Acest lucru permite organizației să identifice și să abordeze rapid amenințările emergente, în timp ce își rafinează și controalele de securitate și procedurile de răspuns la incidente, pe baza celor mai recente constatări.
Abordare Cuprinzătoare
Purple teaming ar trebui să adopte o abordare holistică, abordând toate aspectele securității unei organizații, de la infrastructura de rețea și aplicații, până la securitatea fizică și conștientizarea utilizatorilor. Aliniind expertiza și perspectivele echipelor blue și red, membrii echipei purple pot dezvolta o strategie de securitate mai robustă
Cyber Scape in 2023 - Momentum Cyber
File upload
Comptia 2024 State of Cybersecurity
CompTIA
2024 State of Cybersecurity - US | CompTIA
CompTIA’s 2024 State of Cybersecurity report explores the many variables that must be considered in balancing the cybersecurity equation.
Global Cybersecurity Outlook 2024
File upload
Defensive Cybersecurity Roles
SOC Analist
Analistul SOC (Security Operations Center) este responsabil pentru monitorizarea și răspunsul la incidente de securitate în timp real. Ei analizează alertele, investighează amenințările și coordonează eforturile de remediere.
Analist de Securitate IT
Analistul de securitate IT este responsabil pentru identificarea și remedierea vulnerabilităților de securitate în cadrul infrastructurii IT. Ei efectuează scanări de vulnerabilități, implementează soluții de securitate și raportează problemele de securitate.
Specialist în Răspuns la Incidente și Analist de Amenințări
Specialistul în răspuns la incidente și analistul de amenințări investighează și răspund la incidentele de securitate. Ei analizează indicatorii de compromitere, efectuează analize forense și dezvoltă strategii de atenuare a amenințărilor.
Inginer de Securitate
Inginerul de securitate este responsabil pentru proiectarea, implementarea și întreținerea soluțiilor de securitate. Ei dezvoltă și testează controale de securitate, configurează sisteme de securitate și asigură conformitatea cu politicile de securitate.
Alte Roluri în Securitate Cibernetică
Tester de Penetrare
Testatorii de penetrare sunt profesioniști în securitatea cibernetică care desfășoară activități autorizate de hacking etic pentru a identifica vulnerabilități de securitate în sistemele și rețelele unei organizații. Ei utilizează o varietate de instrumente și tehnici pentru a simula atacuri din lumea reală, cu scopul de a descoperi punctele slabe care ar putea fi exploatate de actori rău-intenționați. Prin testarea minuțioasă a apărărilor organizației, testatorii de penetrare oferă informații valoroase care ajută la consolidarea posturii globale de securitate.
Cercetător de Vulnerabilități
Cercetătorii de vulnerabilități sunt experți în descoperirea și analiza defectelor de securitate din software, hardware și sisteme. Ei investesc timp și efort considerabil în înțelegerea modului de funcționare a tehnologiei, identificând potențiale vulnerabilități și dezvoltând exemple de exploatare pentru a demonstra impactul acestor slăbiciuni. Prin împărtășirea descoperirilor lor cu furnizorii și comunitatea mai largă de securitate cibernetică, cercetătorii de vulnerabilități joacă un rol esențial în dezvoltarea de tehnologii mai sigure și în ajutarea organizațiilor la atenuarea riscurilor.
Analist Malware
Analiștii de malware sunt responsabili pentru examinarea și dezasamblarea codului dăunător pentru a înțelege funcționalitatea, originea și impactul potențial al acestuia. Ei folosesc tehnici avansate pentru a diseca și analiza probe de malware sofisticate, cu scopul de a dezvolta contramăsuri și semnături de detectare pentru a proteja împotriva acestor amenințări. Prin menținerea actualizării cu ultimele tendințe și tactici ale malware-ului, analiștii de malware joacă un rol esențial în lupta constantă împotriva infractorilor cibernetici și a actorilor de stat.
Specialist în Răspuns la Incidente
Specialiștii în răspuns la incidente sunt responsabili pentru investigarea și atenuarea incidentelor de securitate cibernetică, cum ar fi încălcări ale datelor, infecții cu malware și încercări de acces neautorizat. Ei lucrează rapid pentru a limita daunele, a colecta și analiza dovezi forensice și a determina cauza root a incidentului. Prin utilizarea expertisei lor în protocoalele de răspuns la incidente și a instrumentelor specializate, specialiștii în răspuns la incidente joacă un rol esențial în restabilirea operațiunilor normale și în prevenirea producerii unor incidente similare în viitor.
Operator Echipa Roșie
Operatorii echipei roșii sunt profesioniști în securitate cibernetică foarte calificați care simulează amenințări persistente avansate din lumea reală pentru a evalua postura de securitate a unei organizații și eficacitatea măsurilor sale defensive. Ei folosesc tehnici sofisticate, inclusiv inginerie socială, exploatarea rețelelor și escaladarea privilegiilor, pentru a depăși controalele de securitate și a descoperi punctele slabe. Acționând în calitate de adversari, operatorii echipei roșii oferă informații prețioase care ajută organizațiile să își consolideze protocoalele de securitate și să își îmbunătățească rezistența la amenințările cibernetice complexe.
Arhitect de Securitate
Arhitectul de securitate este responsabil pentru proiectarea, dezvoltarea și implementarea strategiilor și soluțiilor de securitate cibernetică la nivel organizațional. Ei folosesc o abordare cuprinzătoare pentru a integra controalele de securitate în cadrul infrastructurii IT, aplicațiilor și proceselor de afaceri. Arhitecții de securitate joacă un rol esențial în asigurarea unei securități robuste și scalabile, în alinierea cu obiectivele de afaceri și în anticiparea amenințărilor emergente.
Consultant de Securitate
Consultanții de securitate sunt experți care oferă consultanță și asistență organizațiilor în materie de securitate cibernetică. Ei evaluează riscurile și vulnerabilitățile, dezvoltă politici și controale de securitate, oferă instruire pentru creșterea nivelului de conștientizare și implementează soluții de securitate personalizate. Consultanții de securitate contribuie la îmbunătățirea generală a posturii de securitate a organizației, ajutând la atenuarea amenințărilor și la conformitatea cu reglementările de securitate aplicabile.
Analist SOC
Probabil cea mai cunoscută poziție din domeniul apărării este Analistul SOC. Aceștia sunt profesioniști în domeniul securității care lucrează în mod obișnuit în Centrul de Operațiuni de Securitate (SOC) al unei organizații. Echipa SOC este responsabilă de protejarea, monitorizarea, identificarea și eliminarea amenințărilor din sistemele IT ale unei companii.
Analiștii SOC furnizează gestionarea și răspunsul la incidente la nivel de primă linie, gestionând evenimentele de securitate evidențiate de instrumente precum o platformă de Gestionare a Informațiilor și Evenimentelor de Securitate (SIEM), o soluție de Detectare și Răspuns la Endpoint (EDR), antivirus și sisteme de detectare a intruziunilor (IDS). Analiștii vor gestiona atât evenimente comune, cât și anomale, cum ar fi: adrese IP externe care efectuează scanări de porturi sau de vulnerabilități, eșecuri de autentificare, e-mailuri de tip phishing, utilizarea conturilor de administrator, alerte generate de instrumentele menționate mai sus, conexiuni de rețea suspecte și multe altele.
Dacă doriți să aflați mai multe despre ce este un SOC și ce fac, aruncați o privire asupra următoarelor linkuri:
Ce este un analist SOC? Descrierea postului, salariul și certificarea | CSO Online
IT Security Analyst
O altă poziție importantă este cea de analist de securitate IT. Acești profesioniști sunt responsabili de protejarea informațiilor confidențiale și private ale organizației, evitând cu orice preț orice scenarii care implică o încălcare a informațiilor.
Unele exemple de sarcini efectuate de persoanele din acest rol pot include consolidarea sistemelor, identificarea activității suspecte, informarea administratorilor IT cu privire la orice risc, menținerea sistemelor actualizate și multe altele.
Dacă doriți să citiți mai multe despre acest rol, consultați următoarele linkuri:
https://digitalguardian.com/blog/what-security-analyst-responsibilities-qualifications-and-more
https://www.careerexplorer.com/careers/information-security-analyst/
Incident Responder și Analist de Amenințări
Continuând cu această serie de roluri ale echipei albastre, avem Incident Responders. Aceștia sunt responsabili de a reacționa imediat la orice incident de securitate sau orice amenințare internă care apare în mediul IT.
Acești indivizi extrem de calificați sunt extrem de capabili din punct de vedere tehnic, permițând organizației să răspundă la incidente care pot fi extrem de dăunătoare, cum ar fi izbucniri de ransomware, defaceri de site-uri web, infecții cu malware, atacuri DDoS și multe altele.
Analist de Amenințări
O altă poziție importantă care există în mediile defensive este cea de Analist de Amenințări. Aceștia sunt profesioniști responsabili de a analiza datele colectate de organizație prin diverse evaluări ale amenințărilor (Indicatori de Compromitere, Vulnerabilități Comune/Cunoscute (CVE) etc.), căutând să identifice o posibilă amenințare care ar putea afecta organizația (fie că se întâmplă acum, fie că s-ar putea întâmpla în viitor).
Dacă doriți să aflați mai multe despre acest rol, puteți vizita următoarele linkuri:
https://digitalguardian.com/blog/what-does-insider-threat-analyst-do
https://www.cybersecurity-insiders.com/role-of-cyber-threat-intelligence-analysts-in-an-organization-2/
https://www.recordedfuture.com/threat-intelligence/
Security Engineer
În domeniul securității, puteți găsi și Ingineri de Securitate. Profesioniștii din această poziție sunt responsabili pentru proiectarea sistemelor informatice și implementarea diverselor tipuri de strategii de securitate (soluții de rețea, structuri fizice etc.), pentru a le oferi capacitatea de a face față diverselor tipuri de adversități și amenințări (dezastre naturale, atacuri cibernetice etc.) și a nu muri în proces.
Unele dintre responsabilitățile acestui tip de profesionist sunt: proiectarea și implementarea măsurilor de securitate, efectuarea testării și evaluării software-ului și monitorizarea rețelelor și a sistemelor informatice, printre multe alte sarcini.
Dacă doriți să aflați mai multe despre acest rol, puteți vizita următoarele linkuri:
https://www.careerexplorer.com/careers/security-engineer/
https://www.simplilearn.com/tutorials/cyber-security-tutorial/how-to-become-cyber-security-engineer
Security Consultant
Continuând cu lista noastră, avem Consultanții de Securitate. Aceștia sunt profesioniști în securitatea informatică bine pregătiți care își folosesc expertiza pentru a oferi sfaturi și supraveghere cu privire la măsurile de securitate pe care o companie sau un sistem informatic le va utiliza pentru a-și păstra și proteja informațiile și pe cele ale clienților săi.
Unele dintre funcțiile pe care acești profesioniști le îndeplinesc sunt: evaluarea amenințărilor, identificarea încălcărilor și a practicilor nesigure de securitate și, în principal, crearea de protocoale, standarde și planuri de urgență care pot fi utilizate de organizație în scenariul său defensiv.
Dacă doriți să aflați mai multe despre acest rol, puteți vizita următoarele linkuri:
https://www.careerexplorer.com/careers/it-security-consultant/
What does a Security Consultant do? - Talentpedia
https://www.cyberdegrees.org/jobs/security-consultant/
Security Architect
O poziție vitală pentru a ajuta la implementarea apărării în adâncime este un Security Architect. Profesioniștii din această poziție sunt responsabili pentru proiectarea, construirea și întreținerea structurilor de securitate operaționale care sunt implementate într-o organizație. Acești profesioniști trebuie să aplice cele mai bune practici din industrie și trebuie să se gândească ca un adversar, anticipând mișcările lor și creând planuri de acțiune pentru a preveni compromiterea sistemelor.
Dacă sunteți interesat de această poziție, puteți obține mai multe informații pe aceste site-uri:
https://www.cybersecurityeducation.org/careers/security-architect/
https://www.careerexplorer.com/careers/security-architect/
https://www.cyberdegrees.org/jobs/security-architect/
Analist de Identitate și Acces
1
Asigurarea că conturile sunt securizate și accesul este blocat, analiștii IAM lucrează pentru a preveni abuzul conturilor prin implementarea de politici și controale tehnice pentru a impune principiul privilegiului minim, a detecta și remedia partajarea conturilor și a elimina conturile neutilizate. Acești analiști sunt responsabili pentru protejarea conturilor în sistemele locale și în cloud.
Dacă sunteți interesat de această poziție, puteți obține mai multe informații pe aceste site-uri web: Ce este Managementul Identității? | VMware Glossary
Forensic Analyst
Și în cele din urmă, avem unul dintre cele mai tehnice roluri din lumea defensivă. Acesta este Analistul Forenzic Digital. Aceștia sunt profesioniști care lucrează la investigații sensibile, colectând și analizând dispozitive pentru a identifica probe digitale care pot fi utilizate fie pentru răspunsul la incidente, fie în scopuri de urmărire penală, în funcție de organizația pentru care lucrează. Cele mai multe organizații la scară largă vor avea Analiști Forensici pentru a ajuta la lucrări precum investigații de răspuns la incidente și monitorizarea amenințărilor interne. Analiștii care lucrează pentru agențiile de aplicare a legii vor asista probabil la investigații penale pentru a colecta probe care leagă suspectul de orice infracțiuni comise.
Dacă doriți să aflați mai multe despre acest rol, puteți vizita următoarele linkuri:
https://blog.eccouncil.org/what-does-a-digital-forensics-analyst-do-is-this-job-for-you/
https://www.criminaljusticedegreeschools.com/criminal-justice-careers/computer-forensics-investigator/
Computer Forensics Analyst: Job Description, Duties and Requirements (bestaccreditedcolleges.org)
"Abilități soft.. plictisitoare".
Înțelegem. Ești aici pentru a învăța cum să oprești răufăcătorii și să aperi rețelele. Dar să ne credeți, puteți fi cea mai capabilă persoană din punct de vedere tehnic din lume, dar dacă nu aveți abilități de bază de comunicare în cadrul locului de muncă, șansele sunt că nu veți ajunge prea departe. Acestea vă vor fi utile nu numai pe tot parcursul carierei și la interviurile de angajare, ci și de-a lungul vieții. Deci, încredeți-vă în noi, treceți prin această secțiune, apoi treceți la lucrurile cool!
Obiective de învățare
Dezvoltarea abilităților generale
La finalul acestei secțiuni veți înțelege importanța abilităților generale în locul de muncă și cum să vă dezvoltați domeniile în care sunteți mai slabi.
Epuizarea profesională
Veți înțelege ce este epuizarea profesională, cum afectează profesioniștii din domeniul securității și cum să luați măsuri pentru a o aborda.
Sindromul impostoarelor
Veți înțelege ce este sindromul impostoarelor, cum afectează profesioniștii din domeniul securității și cum să luați măsuri pentru a-l aborda.
Comunicare online și față în față
Comunicare online
Indiferent dacă trimiteți un e-mail sau mesajați pe o platformă de mesagerie instantanee, trebuie să comunicați eficient și adecvat. De asemenea, trebuie să fiți conștienți de orice politici corporative care restricționează modul în care este utilizată, monitorizată și stocată comunicarea electronică în cadrul organizației. Când trimiteți e-mailuri sau utilizați software-ul intern de mesagerie instantanee, chiar dacă este cineva cu care sunteți prieteni, trebuie să acționați întotdeauna profesionist, deoarece e-mailurile și istoricul conversațiilor sunt stocate și auditate.
Comunicare față în față
Amintiți-vă întotdeauna că atunci când vă aflați la locul de muncă, este de obicei întotdeauna un mediu profesional. Este minunat să aveți o risipă de râs la locul de muncă, dar asigurați-vă că nu este nepotrivit și nu încalcă nicio etică sau politică la locul de muncă.
External Parties și Social Engineering
Reprezentarea companiei
Atunci când comunicați cu entități din afara organizației, este important să țineți minte că vă reprezentați compania, deci trebuie să acționați întotdeauna profesionist. Nu divulgați niciodată informații decât dacă sunteți sigur că aveți permisiunea să le dezvăluiți părților externe. Dacă nu sunteți sigur, întrebați un membru senior al echipei dvs. pentru clarificare.
Valoarea informațiilor
Sunteți valoros. Nu doar pentru că sunteți o persoană minunată, ci pentru că dețineți informații despre companie pe care persoanele din exterior nu le au. Cunoașteți instrumentele pe care le utilizează, adresele IP interne, membrii echipei și multe alte informații care vi se pot părea fără importanță, dar care pot fi foarte valoroase pentru atacatori. Dacă divulgați public că lucrați pentru o organizație (stare Facebook sau secțiunea de angajare a profilului, postare LinkedIn sau istoric profesional etc.), atunci trebuie să vă pregătiți să primiți atacuri de tip social engineering la un moment dat, în care actori rău intenționați încearcă să obțină informații din dvs. în moduri inofensive. Politicile companiei pot dicta ce poate și ce nu poate fi împărtășit online pentru a reduce această amenințare, deci asigurați-vă că le citiți dacă organizația dvs. are una. Și vă rog, vă rog, NU împărtășiți fotografii cu ecusonul dvs. de serviciu online! Dacă vă deplasați în afara biroului, cum ar fi deplasarea la sau de la serviciu, ieșirea la masă de prânz sau fumatul în afara clădirii, asigurați-vă că ecusonul nu este vizibil (fie în buzunar, fie dacă este pe un lanț, în interiorul hainei). Actorii rău intenționați pot încerca să vadă cum arată ecusoanele de identificare pentru a-și putea crea propriile ecusoane și a le utiliza pentru a obține acces neautorizat în clădire.
Sfaturi de comunicare
Simplitate
K.I.S.S. - "Keep It Simple Stupid" se referă la utilizarea unui limbaj adecvat publicului țintă, astfel încât totul să fie clar și direct. Dacă vorbiți cu cineva dintr-un departament non-cyber, cum ar fi Resurse Umane, este puțin probabil că vor înțelege ce sunt acele conexiuni suspecte care vin de pe laptopul lor de serviciu. Adesea este mai bine să vorbiți simplu cu cineva decât să folosiți jargon și vocabular de specialitate pe care nu le vor înțelege, ceea ce v-ar putea da un răspuns greșit și v-ar consuma mai mult timp. Acest lucru se poate aplica atât comunicării scrise, cum ar fi e-mailurile și mesajele, cât și comunicării verbale.
Reformulare
Dacă cineva nu vă înțelege, reformulați ceea ce spuneți. Nu-i dați vina, și nu vă simțiți rău. Încercați să vă explicați mesajul într-un alt mod, oferindu-le mai multe informații și timp pentru a înțelege ce spuneți.
Professionalism and Teamwork
Păstrați-vă profesionalismul. Deși locul de muncă poate fi un loc foarte social, trebuie să rămâneți întotdeauna profesionali, după tot, sunteți la muncă. Pot exista, de asemenea, politici ale companiei pe care trebuie să le respectați în timpul orelor de lucru. Nu faceți remarci rasiste, sexiste sau altfel derogatorii și gândiți-vă la ceea ce spuneți pentru a vă asigura că nu este nepotrivit. Acțiuni de acest fel vor fi raportate departamentului de Resurse Umane al organizației și este probabil ca aceștia să ia măsuri disciplinare împotriva oricăror persoane implicate.
Dacă lucrați de acasă, purtați pantaloni. Nu este nimic în neregulă să fiți confortabili, dar amintiți-vă că încă lucrați și trebuie să rămâneți profesioniști! Mai ales dacă participați la apeluri video sau ședințe, nu fiți [acest tip](https://youtu.be/48KjeTeWe7Y), este o etică de bază a lucrului de acasă și vă va salva de la rușine. (P.s. - a vă îmbrăca elegant în timp ce lucrați de acasă v-ar putea ajuta să mențineți mentalitatea profesională, ajutându-vă să vă concentrați pe muncă în loc să vă lăsați distrași).
Munca în echipă este o abilitate esențială de avut atunci când lucrați în domeniul securității cibernetice. Securitatea este despre oameni care lucrează împreună, deci vă puteți aștepta să faceți parte dintr-o echipă cea mai mare parte a timpului. Fie că sunteți un analist de securitate care lucrează într-un centru de operațiuni de securitate sau un analist de vulnerabilități care încearcă să obțină sisteme cu patch-uri, veți lucra cu alte persoane și veți trebui să puteți comunica cu ele și să cooperați pentru a finaliza sarcina. Crearea și menținerea relațiilor profesionale cu părțile interesate vă va ajuta în viitor când veți trebui să lucrați cu ele pentru a îndeplini anumite sarcini.
Munca în echipă poate fi greu de realizat, deoarece oamenii au opinii, credințe și abordări diferite față de situații. Este important să respectați fiecare membru al unei echipe și să ascultați sugestiile lor, lucrând împreună pentru a atinge rezultatul dorit.
Networking
Conexiuni profesionale
Participarea la conferințe, conectarea cu oameni pe LinkedIn și implicarea în evenimente organizate de companie pot duce la relații profesionale și personale suplimentare, ajutându-vă să învățați lucruri noi, să vă îmbunătățiți abilitățile interpersonale și să aflați cum funcționează alte companii, ceea ce v-ar putea permite să aduceți informații valoroase înapoi în organizația dvs.
Conferințe de securitate cibernetică
Unele conferințe populare de securitate informatică includ Defcon, InfoSec Europe, BlackHat și o listă actualizată de conferințe de securitate cibernetică disponibilă la infosec-conferences.com.
Dezvoltarea Abilităților
Concursuri Capture The Flag (CTF)
Evenimentele Capture The Flag (CTF) sunt o modalitate excelentă de a îmbunătăți abilitățile de lucru în echipă, comunicare și securitate, toate în același timp! Găsiți un CTF public care permite echipe, găsiți câțiva prieteni (sau chiar câțiva colegi de pe serverul nostru Discord) și înscriețivă împreună! Dedicați câteva ore și lucrați împreună pentru a rezolva provocările de securitate, angajați-vă în chat text sau vocal și vedeți cât de sus puteți urca în clasament (chiar dacă nu vă clasați sus, tot învățați lucruri noi și vă dezvoltați cunoștințele).
Exerciții de Lucru în Echipă
Exercițiile de lucru în echipă sunt utilizate în mod obișnuit de către liderii de echipă din cadrul organizațiilor pentru a dezvolta abilități interpersonale esențiale pentru colaborare. În timpul exercițiilor de simulare a incidentelor de răspuns (abordate în domeniul Răspunsului la Incidente), veți lucra pentru a aborda un incident de securitate fictiv împreună cu colegii, conducerea și angajații din alte departamente - acesta este un mod excelent de a vă implica, de a vă îmbunătăți abilitățile de răspuns la incidente, precum și abilitățile interpersonale precum lucrul în echipă, comunicarea și analiza. Alte exemple includ jocul de paintball cu prietenii sau colegii de muncă și jocurile online, care sunt modalități excelente de a dezvolta abilități de comunicare și lucru în echipă.
Petrecerea Timpului Împreună
Petrecerea timpului cu colegii este probabil cea mai ușoară modalitate de a dezvolta atât relații personale, cât și profesionale. Exemple includ ieșiri la prânz împreună sau întâlniri după muncă pentru câteva băuturi (alcoolice sau non-alcoolice!). Dezvoltarea legăturilor cu oamenii cu care veți lucra zi de zi are o serie de beneficii, cum ar fi facilitarea solicitării de ajutor, a lucrului împreună și a râsului pentru a menține spiritele și motivația ridicate.
Dezvoltarea Abilităților de Rezolvare a Problemelor
Problemele apar în fiecare zi, iar securitatea nu face excepție. Lucrurile se strică, apar noi amenințări și au loc atacuri. Lucrul în operațiunile de securitate implică o mare parte de triaj al evenimentelor de securitate, identificarea problemelor și colaborarea cu alții pentru a le rezolva. Capacitatea de a rezolva probleme într-un mod eficient și prompt este o abilitate extrem de utilă pentru orice carieră.
Specialiștii în răspunsul la incidente sunt buni la ceea ce fac pentru că pot lucra bine sub presiune și au abilități puternice de rezolvare a problemelor. Rezolvarea problemelor se leagă de rolurile de securitate și funcționează în mai multe moduri:
1
Analiză: Utilizarea unor procese de gândire disciplinate pentru a evalua fiecare soluție posibilă. Pe lângă enumerarea costurilor și beneficiilor acestora, ați putea aplica raționamentul deductiv, teoria jocurilor și regulile logicii (inclusiv sofismele).
Luarea Deciziilor: Capacitatea de a decide asupra unei soluții și de a avansa cu ea. După un timp adecvat, o analiză a soluțiilor posibile și feedback de la membrii echipei, o persoană desemnată trebuie să aleagă și să implementeze o soluție.
Gestionarea Emoțiilor: Aplicarea inteligenței emoționale pentru a îmbunătăți capacitatea ta și a membrilor echipei de a gândi clar. Acest lucru necesită recunoașterea emoțiilor în tine și în ceilalți, gestionarea sentimentelor și canaliza emoțiilor în muncă utilă.
Nu vă temeți să vă gândiți în afara cutiei și să găsiți soluții creative pentru a rezolva problemele. În același timp, dacă sunteți complet blocat, nu vă temeți să cereți ajutor și nu petreceți prea mult timp concentrându-vă pe o singură problemă dacă nu sunteți sigur cum să o abordați.
Dezvoltarea Abilităților de Rezolvare a Problemelor
1
Puzzle-uri și Jocuri Logice Online
Acestea pot ajuta la îmbunătățirea abilităților logice și matematice de rezolvare a problemelor, transferând aceste competențe către industria securității.
2
Evenimente Capture the Flag
Așa cum am menționat anterior, CTF-urile sunt o modalitate incredibilă de a câștiga experiență în domeniul securității cibernetice și a abilităților soft. Rezolvarea de probleme este cu siguranță ceva ce poate fi dezvoltat prin finalizarea acestor evenimente, deoarece veți fi nevoit să analizați și să găsiți soluții pentru a finaliza o provocare și a obține valoarea steagului.
3
Blue Team Labs Online
BTLO este platforma noastră de laboratoare gamificate cu conținut gratuit și plătit, acoperind o gamă largă de scenarii și investigații ale echipei albastre. Acesta este un mod excelent de a vă extinde cunoștințele atât despre practicile echipei roșii, cât și ale celei albastre și vă provoacă în mod real să rezolvați probleme, construind această abilitate soft importantă.
4
Alte Platforme de Formare
Cum ar fi [PentesterLab](https://pentesterlab.com/), [PicoCTF](https://picoctf.com/), [TryHackMe](https://tryhackme.com/), [OverTheWire](https://overthewire.org/wargames/) și, bineînțeles, [Cursuri Security Blue Team](https://securityblue.team/training/)!
Dezvoltarea Abilităților
Utilizarea unei aplicații de gestionare a timpului
Magazinele de aplicații mobile oferă o mulțime de aplicații de gestionare a timpului, deci de ce să nu încerci una? Obișnuiește-te să faci liste de sarcini și să le completezi înainte de termene. Dobândirea acestui obicei te va ajuta cu siguranță la locul de muncă!
Scrierea listelor de sarcini
Sună foarte simplu, dar te asigurăm că funcționează! Scrie o listă cu lucrurile pe care trebuie să le faci a doua zi înainte de a merge la culcare. Trezește-te dimineața, ia micul dejun și începe să lucrezi la lista ta, bifând elementele pe măsură ce le îndeplinești.
Utilizarea unui calendar
Folosirea unui calendar pentru a înregistra date importante, ore de întâlniri și momentele în care ești ocupat te va ajuta să rămâi pe fir și să te asiguri că nu ratezi evenimente importante.
Motivație
1
Cybersecurity se schimbă în fiecare oră. Noi vulnerabilități, noi exploatări, noi atacuri cibernetice, noi programe malware, noi actori de amenințare. Nu se oprește și nu se va opri niciodată. Pe măsură ce tehnologia se dezvoltă, la fel și câmpul de luptă online, iar este o cursă între atacatori și apărători pentru a rămâne în vârf. Deoarece munca în acest domeniu necesită o dezvoltare de sine constantă și expunere la noi tehnologii și informații, trebuie să fii dedicat, motivat și ambițios.
A fi "motivat" nu înseamnă că ai un blog și postezi ceva în fiecare zi a anului. Nu înseamnă că nu ai viață socială și petreci fiecare secundă în afara muncii făcând cercetare și dezvoltându-ți abilitățile cyber. Ești uman. Este extrem de important să ai un echilibru între muncă și viață personală, asigurându-te că ai timp pentru tine, prieteni și familie. Făcând acest lucru, vei ajuta la bunăstarea mentală, ceea ce va avea un impact pozitiv asupra vieții tale profesionale.
Nu vei fi motivat tot timpul, iar asta e în regulă. Având o bună autodisciplină, vei putea rămâne concentrat și vei putea lucra eficient chiar și în etapele în care te simți obosit sau nemotivat. Atâta timp cât îți place ceea ce faci și îți place să înveți lucruri noi, vei aprecia să lucrezi în această industrie.
Support Resources
Burnout Prevention
This resource is focused on the burnout of psychiatrists and other physicians, but it is directly translatable to the cybersecurity world - https://www.psychiatry.org/psychiatrists/practice/well-being-and-burnout/well-being-resources
Mental Health Resources
American Psychiatric Association's Workplace Mental Health site, which is a great starting point for mental health in all professions - https://workplacementalhealth.org
Alert Fatigue
În timp ce discutăm despre sănătatea mintală, credem că este un moment bun pentru a aborda subiectul "oboselii de alertă", o stare psihologică în rândul profesioniștilor din domeniul securității, care poate avea consecințe devastatoare. Persoanele care lucrează în industria securității, în special analiștii SOC, vor experimenta această stare.
Deci, ce este oboseala de alertă? Atunci când investigați și răspundeți la alerte în fiecare zi, veți deveni în cele din urmă insensibili la alerte care au un volum ridicat și sunt repetitive, cum ar fi adresele IP externe care scanează organizația, ceva ce se întâmplă toată ziua, în fiecare zi. Puteți tria aceste evenimente rapid, deoarece știți exact ce să căutați. În timp, acest lucru poate duce la presupuneri, rezultând în omiterea unor pași de investigație sau în lipsa unei analize, iar alerta este doar închisă sau ignorată. Acest lucru este, de asemenea, prevalent în cazul alertelor false, unde analistul nu va acorda o atenție deosebită unei "alerte false cunoscute", cu toate acestea, una dintre acestea ar putea fi o alertă reală de activitate malițioasă. Totuși, nu este investigată corespunzător, deoarece a fost etichetată ca fiind o alertă falsă și, prin urmare, nu este importantă.
Deci, cum putem atenua oboseala de alertă? Ei bine, nu există un răspuns ușor. Dacă lucrați în industria securității și începeți să credeți că vă formați o obișnuință rea de a parcurge rapid analiza alertelor sau de a omite pași, trebuie să fiți atenți. Dacă alerta vă este atribuită, sunteți responsabil să vă asigurați că activitatea care a generat alerta nu este malițioasă. Amintiți-vă de rolul vostru crucial ca apărător și că o singură informație omisă ar fi putut dezvălui o intruziune sau un atac ascuns.
Este greu când suntem în tranșeele cibernetice, dar luați-vă timpul și asigurați-vă că totul arată bine.
Controale de Securitate Fizică
Importanța Controlului Accesului
De obicei, dacă un atacator are acces fizic la sisteme, este joc terminat. Acest lucru ar putea include accesul la terminale ale serverelor, furtul fizic de date sub formă de documente pe hârtie sau unități de disc, sau chiar daune fizice aduse sistemelor, cauzând o întrerupere a serviciului.
Controlul Accesului
Prin utilizarea Controlului Accesului, putem face dificilă accesul neautorizat la zone protejate. Un exemplu ar fi turnichetele la intrarea principală care necesită un ecuson RFID pentru a debloca și trece. Utilizând această măsură de control, doar angajații care au un ecuson cu cheile digitale corecte vor putea trece.
Controale de Monitorizare
Controalele de Monitorizare, cum ar fi camerele de supraveghere video, sunt utile pentru monitorizarea în timp real și păstrarea unei înregistrări a oricărui comportament rău intenționat, astfel încât să poată fi utilizată în cazul unei acuzații.
Elemente de Descurajare
Elementele de Descurajare sunt concepute pentru a descuraja oamenii; un exemplu ar fi semne de avertizare care spun oamenilor că dacă vor merge mai departe, vor fi în încălcarea proprietății. Acest lucru poate fi suficient pentru a împiedica unele persoane să continue.
Controale de Acces
Mantrap
Acestea sunt un control de securitate lent, dar eficient, în care o persoană care dorește să acceseze o zonă protejată trebuie să treacă printr-o ușă inițială într-o cameră de reținere, unde este inspectată printr-o fereastră sau o cameră video înainte ca a doua ușă să fie deblocată.
Turnichete/Porți
Acest control eficient este foarte comun în clădirile de birouri și necesită ca angajații să își atingă cardul de acces pe un cititor, care va debloca poarta și le va permite să treacă.
Uși Electronice
Aceste uși securizate ar trebui să fie utilizate în întreaga unitate, pentru a limita zonele pe care o persoană le poate accesa, în funcție de rolul său. De exemplu, este foarte puțin probabil ca cineva din Resurse Umane să aibă acces la o sală de servere. Permițând doar anumitor persoane în anumite zone nu numai că reduce riscul de activitate rău-intenționată, dar poate ajuta și la identificarea persoanei responsabile, deoarece lista de potențiali suspecți este mult mai scurtă.
Monitoring Controls
CCTV
Sistemele de televiziune în circuit închis (CCTV) permit monitorizarea de la mai multe camere interconectate. Acest lucru oferă echipelor de securitate o vizibilitate extinsă.
Agenți de Securitate
Este bine să existe aceste măsuri tehnice, dar trebuie să existe o echipă instruită în utilizarea și întreținerea acestora, astfel încât să poată utiliza la maximum controalele de securitate și să răspundă la incidente.
Sisteme de Detecție a Intruziunilor
Aceste sisteme au mai multe declanșatori diferiți care pot genera alerte sau declanșa alarme, inclusiv detectarea termică (căldură), detectarea sunetului și detectarea mișcării. Un exemplu ar fi un sistem de detectare a sunetului care poate recunoaște sunetul sticlei sparte (cum ar fi un intrus care sparge o fereastră pentru a pătrunde în clădire) și declanșează o alarmă.
Deterrents
Semne de avertizare
Semne precum "NU INTRA" și "Ești pe proprietate privată" pot fi suficiente pentru a determina oamenii să se întoarcă, deoarece au fost informați că orice activitate ulterioară poate fi ilegală.
Garduri
Gardurile metalice din lanț sunt foarte comune, cu sârmă ghimpată sau lame în vârf. Acest lucru creează o barieră care nu poate fi escaladată și necesită mai mult efort pentru atacatori să o depășească, încetinind-i și oferind mai mult timp pentru a fi detectați.
Câini de pază
Câinii de securitate care sunt instruiți să latre și să provoace stres sunt un puternic factor de descurajare. În ciuda faptului că sunt foarte bine instruiți, ei tot par periculoși în ochii atacatorului. De asemenea, pot ajuta la reținerea oricărui intrus.
Iluminare de securitate
Iluminatul este folosit pentru a preveni zonele cu vizibilitate scăzută cauzate de întuneric, care ar putea permite unui intrus să evite controalele de securitate, cum ar fi camerele video și paznicii de securitate. Iluminarea zonelor în combinație cu camerele video reprezintă o soluție excelentă de descurajare și monitorizare.
Camere video CCTV
Dacă indivizii cred că sunt filmați (chiar dacă camerele nu funcționează), acest lucru este probabil să-i descurajeze să desfășoare orice activitate ilegală sau dăunătoare, deoarece ar putea exista dovezi înregistrate ale comiterii unei infracțiuni.
Endpoint Defenses Overview
Această lecție vă va prezenta câteva apărări de bază ale punctelor finale și ce fac acestea pentru a proteja sistemele de atacuri. Aceste controale de securitate vor fi extinse în domeniile viitoare ale acestui curs; această lecție este concepută doar pentru a oferi o bază care va fi construită în mod continuu.
Detectarea intruziunilor la nivel de gazdă
Sistemele de detectare a intruziunilor la nivel de gazdă, cunoscute și sub numele de HIDS, sunt software instalat pe un punct final care permite detectarea activității suspecte sau rău intenționate folosind reguli care sunt verificate față de activitate pentru a vedea dacă se potrivește cu orice modele rău intenționate cunoscute. Acest control de securitate va genera alerte (de aici și numele sistemului de "detectare" a intruziunilor la nivel de gazdă) astfel încât analiștii umani să poată investiga mai departe dintr-o interfață de soluție HIDS. Alternativ, alertele pot fi, de asemenea, împinse către o platformă SIEM (acoperită mai jos sub titlul Monitorizarea securității) pentru a informa analiștii să investigheze.
Prevenirea intruziunilor la nivel de gazdă
Sistemele de prevenire a intruziunilor la nivel de gazdă, cunoscute și sub numele de HIPS, sunt software instalat pe un punct final care funcționează similar cu HIDS, dar poate lua acțiuni autonome pentru a apăra sistemele odată ce a fost detectată activitatea rău intenționată, în loc să alerteze doar analiștii umani (de aici și numele sistemului de "prevenire" a intruziunilor la nivel de gazdă). Regulile sunt scrise pentru a căuta modele specifice de activitate, dar cu HIPS aceste reguli conțin acțiuni, astfel încât software-ul să știe ce să facă atunci când este detectată o activitate neobișnuită. Acest lucru poate include întreruperea conexiunilor la site-uri web sau adrese IP, ștergerea fișierelor rău intenționate sau generarea unei alerte.
Soluții anti-virus
Bazate pe semnături
Soluția anti-virus va utiliza semnături care sunt modele specifice de activitate pentru a identifica malware-ul documentat anterior, fie eliminând fișierul, generând o alertă sau punând în carantină malware-ul. Din păcate, dacă furnizorul de AV nu are semnătura unui anumit tip de malware, acesta nu va fi detectat de acest tip de anti-virus și poate fi executat cu succes.
Bazate pe comportament
Acest tip neconvențional de AV lucrează pentru a identifica comportamentul suspect prin crearea unei linii de bază a activității "normale" și lucrând pentru a identifica orice abateri sau anomalii care nu se încadrează în linia de bază, deoarece acestea ar putea indica o activitate suspectă sau dăunătoare.
Log Monitoring și Endpoint Detection and Response
Monitorizarea Jurnalelor
Endpoint-urile pot fi configurate să trimită jurnale într-o locație centralizată, o platformă SIEM, unde aceste date sunt agregate, normalizate și comparate cu o serie de reguli concepute pentru a detecta și a semnala activitatea suspectă sau inuzuală, astfel încât să poată fi investigată de analiștii de securitate. Dacă un endpoint, fie că este un desktop, laptop sau server, începe să se comporte în mod neobișnuit, SIEM-ul ar trebui să detecteze acest lucru și să genereze o alertă pentru a semnala o investigație umană. Putem utiliza Syslog pentru a realiza acest nivel de înregistrare și monitorizare, combinându-l cu o platformă SIEM. Vom acoperi acest subiect în detaliu în domeniul SIEM.
Endpoint Detection and Response
Agenții EDR sunt bucăți de software care stau în liniște pe endpoint-uri și furnizează capacități de înregistrare, monitorizare și reactivitate. Similar cu HIDS și HIPS, agenții EDR vor raporta activitatea înapoi către o platformă similară cu un SIEM, unde analiștii pot să se autentifice și să investigheze alertele generate de soluția EDR. Aceste soluții vor permite, de obicei, analiștilor să efectueze investigații direct din platformă și să vadă exact ce procese rulează pe sistemele monitorizate și să efectueze investigații aprofundate pentru a analiza activitatea suspectă. Platformele EDR pot fi, de asemenea, utilizate pentru a monitoriza amenințările interne, urmărind îndeaproape exact ce fac anumiți utilizatori, combinând acest lucru cu alte instrumente forensice de nivel înalt, pot recupera informații specifice de pe un sistem, cum ar fi site-urile vizitate, mesajele trimise și programele rulate.
Vulnerability Scanning
Scopul scanărilor de vulnerabilități
Scanările de vulnerabilități de rutină ar trebui efectuate asupra punctelor finale pentru a detecta configurații greșite, deficiențe de securitate și vulnerabilități care ar putea fi exploatate de un atacator pentru a obține acces la un sistem, a executa cod rău intenționat sau a provoca o întrerupere a serviciului. Aceste scanări pot fi efectuate fie intern, fie extern.
Scanări externe vs. interne
Scanările externe, efectuate de obicei de scanere în cloud, pot oferi organizației o "perspectivă a atacatorului", deoarece pot vedea ce sisteme și slăbiciuni sunt descoperite pe sistemele accesibile prin internet, cu controalele de securitate și firewallurile funcționând. Scanările interne oferă o imagine mai cuprinzătoare a stării de securitate a sistemelor interne, dar nu reflectă neapărat ceea ce ar vedea un atacator, cu excepția cazului în care acesta ar obține acces în rețea și ar începe scanarea vulnerabilităților din interior.
Compliance Scanning
Verificarea Conformității
Unele cadre de conformitate necesită ca punctele finale să îndeplinească un standard minim de securitate, iar scannerele de vulnerabilități vor avea adesea profiluri sau configurații prestabilite pentru a căuta în mod specific detalii pe care le acoperă cadrul de conformitate, permițând apărătorilor să vadă dacă orice sisteme nu îndeplinesc cerințele.
Securitatea E-mailului
Phishing-ul este cel mai mare vector de atac pentru compromiterea organizațiilor, ducând la încălcări ale datelor. Chiar și astăzi, se pare că securitatea e-mailului este întotdeauna o problemă secundară, deși ar trebui să fie o prioritate principală. Această lecție vă va prezenta câteva apărări de bază ale e-mailului și ceea ce fac ele pentru a proteja organizația de atacuri.
Compliance Scanning
1
Monitorizarea conformității
Scanarea de conformitate este un proces de verificare a sistemelor și aplicațiilor pentru a se asigura că acestea respectă standardele de securitate și reglementările aplicabile. Aceasta poate include verificarea configurațiilor, a politicilor de securitate și a altor controale de securitate pentru a identifica orice neconformități potențiale.
2
Detectarea vulnerabilităților
Scanarea de conformitate poate ajuta la identificarea vulnerabilităților de securitate care pot expune datele sau sistemele organizației la riscuri. Aceste vulnerabilități pot include configurații incorecte, actualizări lipsă sau probleme de cod.
3
Raportare și remediere
După ce sunt identificate neconformitățile și vulnerabilitățile, echipa de securitate poate genera rapoarte detaliate și poate lucra pentru a remedia aceste probleme. Acest proces ajută la îmbunătățirea generală a posturii de securitate a organizației.
Email Defenses
Email Scanning
De obicei, e-mailurile de tip phishing vor conține fie un URL rău intenționat, fie un atașament rău intenționat (sau ambele), iar scannerele special concepute vor citi antetul și corpul e-mailului și vor încerca să identifice indicatori rău intenționați fie utilizând modele sau semnături, fie liste negre care includ liste de expeditori de e-mailuri rău intenționate, hash-uri de fișiere și nume de domenii cunoscute. Când a fost detectat un e-mail suspect, acesta poate fi pus în carantină pentru a nu fi livrat în cutia poștală a unui angajat și este generat un alert pentru a informa echipa de securitate să investigheze.
Instruire privind conștientizarea securității
Instruirea privind conștientizarea securității ar trebui să fie un program obligatoriu pe care noii angajați trebuie să îl finalizeze, precum și să fie finalizat în mod regulat de toți angajații, cu intervale de timp adesea dictate în cadrul diferitelor cadre de conformitate (pe care le acoperim într-o lecție din secțiunea Principii de management din acest domeniu). Deși acest lucru se va concentra pe toate domeniile diferite ale securității, phishingul ar trebui să joace un rol important în acest sens. Angajații trebuie să fie informați în mod clar cum să identifice indicatorii suspecți sau rău intenționați și ce pași dorește organizația să întreprindă, cum ar fi să trimită un mesaj sau să sune echipa de securitate pentru a-i alerta sau să redirecționeze e-mailurile către o cutie poștală specifică. E-mailurile vor trece prin controalele tehnice, deci este esențial ca angajații care le primesc să știe ce să facă și să nu dea clic pe niciun link sau să ruleze niciun atașament. Instruirea privind conștientizarea securității poate fi, de asemenea, asociată cu campanii de phishing simulate desfășurate de echipa de securitate, pentru a evidenția indicatori precum numărul de angajați care au raportat e-mailul la securitate și angajații care au dat clic pe linkul (inofensiv) rău intenționat.
Intrusion Detection Systems
Poziționarea NIDS
NIDS (Sistemele de Detectare a Intruziunilor de Rețea) pot fi poziționate în diferite moduri: în linie (inline), conectate la un port de monitorizare (network tap) sau în mod pasiv (conectate la un port SPAN).
Scopul NIDS
Scopul NIDS este de a genera alerte pentru analiștii umani, astfel încât aceștia să poată investiga și acționa dacă este nevoie. Dacă are loc un atac, NIDS va genera o alertă care va fi investigată.
Rețele de prevenire a intruziunilor și firewalluri
Sisteme de prevenire a intruziunilor în rețea
În timp ce sunt similare cu NIDS, sistemele de prevenire a intruziunilor în rețea, sau NIPS, pot lua automat măsuri defensive în funcție de activitatea identificată (de aici și numele de sistem de "prevenire" a intruziunilor în rețea). Deci un NIDS poate detecta activitatea și genera o alertă, dar NIPS poate detecta activitatea și lua măsuri pentru a se apăra împotriva acesteia. De exemplu, dacă un sistem intern începe să scaneze alte sisteme, ceea ce ar fi clasificat ca o activitate neobișnuită în majoritatea rețelelor, putem pre-programa NIPS să blocheze orice comunicații care provin de la sistemul suspect și să genereze o alertă pentru ca analiștii umani să poată investiga mai departe.
Firewalluri
Firewallurile sunt utilizate pentru a separa părți ale unei rețele pentru a crea zone private prin restricționarea traficului care poate intra sau ieși. Exemplul cel mai evident este să aveți un firewall fizic între internet și rețeaua dvs., permițând doar protocoale comune precum HTTP, HTTPS și DNS. Acest lucru împiedică gazde aleatorii să se conecteze la sistemele dvs., ceea ce ar putea permite exploatarea și compromiterea lor. Există diferite tipuri de firewalluri, pe care le vom acoperi mai târziu în curs, cu cele trei principale fiind:
Firewalluri standard care rulează pe hardware dedicat și sunt amplasate în puncte cheie ale rețelei.
Firewalluri locale sub formă de software care rulează pe terminale (cum ar fi Firewall-ul Windows).
Firewalluri pentru aplicații web sub formă de software care sunt amplasate pe servere web orientate spre internet care găzduiesc site-uri web sau aplicații web.
Log Monitoring pentru Dispozitive de Rețea
1
Jurnale de Activitate din Dispozitive de Rețea
Dispozitivele de rețea pot genera jurnale, iar aceste jurnale pot fi trimise către o platformă SIEM. Având jurnale care provin din sisteme din întreaga rețea, SIEM poate oferi un tablou de bord pe care analiștii îl pot utiliza pentru a monitoriza activitatea și a răspunde la alerte generate atunci când este detectat trafic suspect sau rău intenționat.
2
Exemple de Jurnale Valoroase
Dispozitivele de rețea pot furniza informații foarte valoroase, să analizăm câteva exemple: - Jurnalele Proxy Web - Acest dispozitiv procesează solicitările web către internet și va conține o listă a site-urilor vizitate de angajați. Acestea pot fi combinate cu o listă neagră pentru a genera alerte SIEM atunci când un angajat încearcă să acceseze un site rău intenționat sau explicit. - Firewall-uri la Perimetru - Dacă un actor rău intenționat începe să scaneze porturile organizației, firewall-urile de perimetru vor detecta prima dată această activitate, deoarece vor fi bombardate cu solicitări de la IP-urile de scanare. Trimițând aceste informații către un SIEM, se poate genera o alertă atunci când este detectată o scanare a porturilor sau a vulnerabilităților, sau când încep atacurile de tip DDoS (Distributed Denial-of-Service).
Network Access Control
Network Access Control (NAC) poate funcționa pentru a împiedica dispozitivele renegade sau neconforme să se conecteze la o rețea privată. Echipele de securitate ar putea solicita ca orice dispozitive care se conectează la rețea să aibă cele mai recente remedieri și actualizări de securitate și să ruleze antivirus. NAC poate impune acest lucru și nu va permite dispozitivelor să se conecteze la rețea până când nu au îndeplinit toate cerințele. Acest lucru este de obicei utilizat pentru rețelele Bring Your Own Device (BYOD) sau pentru oaspeți, unde se vor conecta dispozitive non-corporative, cum ar fi telefoanele mobile ale angajaților și laptopurile personale, care pot fi potențial infectate, deoarece nu sunt protejate de instrumentele de securitate ale companiei.
Ați fost vreodată într-un restaurant sau într-un centru comercial care oferă wifi gratuit, dar trebuie să vă înregistrați? Acesta este NAC în acțiune, permițând administratorilor de rețea să restricționeze accesul și să gestioneze sesiunile, cum ar fi rețelele care au limite de timp, cum ar fi transportul public și zborurile comerciale.