सुरक्षा संचालन केंद्रों (एसओसी) को ऐसे खतरों का सामना करना पड़ रहा है जो तेजी से हाथ से किए गए कीबोर्ड हमले से व्यापक पैमाने पर और विनाशकारी रैंसमवेयर हमले या यहां तक ​​कि एक जटिल राष्ट्र-राज्य हमले में बदल जाते हैं। ऐसी स्थितियों में अलर्ट द्वारा वर्तमान ट्राइएज और उपचार विफल होने की संभावना है।

हालांकि अलर्ट जांच के लिए एक अच्छा प्रारंभिक बिंदु हैं, लेकिन वे बचावकर्ताओं को हमले की गंभीरता, प्रभाव और प्रसार को प्रभावी ढंग से दूर करने में मदद नहीं करते हैं। सुरक्षा टीमों को अलग-अलग अलर्ट की कतारों से हटकर ऐसी घटनाओं की ओर मुड़ने की जरूरत है जो पूरे एंड-टू-एंड हमलों से निपटने में सक्षम हों।

एक अलर्ट-आधारित ट्राइएज और रेमेडिएशन सिस्टम से व्यापक घटना उपचार के लिए निर्मित एक में जाने से समय और संसाधन बचत, सुरक्षा टीमों से अत्यधिक भार उठा हुआ, और एक शून्य-विश्वास पर निर्मित आपकी सुरक्षा मुद्रा को मजबूत करने के बड़े फायदे हो सकते हैं। रक्षा-में-गहराई दृष्टिकोण:

  • एक घटना दृश्य विश्लेषकों को तुरंत बड़ी तस्वीर देखने और हमले की गंभीरता और सीमा को समझने देता है, जो एसओसी को महत्वपूर्ण घटनाओं को प्राथमिकता देने और कार्रवाई का एक सूचित पाठ्यक्रम तैयार करने में मदद करता है। यह विश्लेषक कतार में कार्य आइटम को भी बहुत कम करता है।
  • सहसंबंध यह विश्वास दिलाते हैं कि गतिविधि दुर्भावनापूर्ण है, इसलिए घटनाओं को अधिक तेज़ी से और आसानी से ट्रीट किया जाता है। यह निर्धारित करना कि घटना में एक गतिविधि दुर्भावनापूर्ण है, पूरी घटना को कम कर देती है, जो झूठी सकारात्मकता को खत्म करने में मदद करती है।
  • घटनाएं विश्लेषकों को हत्या-श्रृंखला में “रिक्त स्थान” खोजने में सक्षम बनाती हैं और MITER ATT&CK ज्ञानकोष में तकनीकों और रणनीति के लिए घटना में अलर्ट मैप करके संदर्भ के आधार पर उन्हें भरती हैं। उदाहरण के लिए, यदि हम किसी घटना में प्रारंभिक पहुंच और पार्श्व आंदोलन गतिविधियों को देखते हैं, तो हम इसका उपयोग दृढ़ता, आदेश और नियंत्रण, और क्रेडेंशियल चोरी की रणनीति खोजने के लिए कर सकते हैं जो अलर्ट ट्रिगर करने के लिए पर्याप्त स्पष्ट नहीं थे। हम प्रारंभिक प्रवेश बिंदु को खोजने के लिए स्वचालित रूप से निष्पादन पथ के माध्यम से वापस रोल कर सकते हैं और हमले की पूरी सीमा को प्रकट करने के लिए आगे बढ़ सकते हैं – यह तय करने के लिए महत्वपूर्ण है कि खतरे को कैसे नियंत्रित किया जाए, हमलावर को बेदखल किया जाए, और संपत्ति के नुकसान को दूर किया जाए।
  • क्योंकि हम व्यक्तिगत अलर्ट के बजाय घटनाओं पर कार्रवाई कर रहे हैं, एसओसी प्लेबुक को पूरी घटनाओं पर भी लक्षित किया जा सकता है। यह निर्देशों के लिए व्यक्तिगत अलर्ट को “पीछा” करने की आवश्यकता को समाप्त करता है और टिकाऊ उच्च-स्तरीय मार्गदर्शन सक्षम करता है जो हर नए अलर्ट प्रकार के साथ नहीं बदलता है। घटना के प्रभाव का पता लगने के साथ, प्लेबुक अब हमलावर को एक बार में पूरी तरह से बेदखल करने के लिए स्पष्ट रूप से पहचान, प्राथमिकता और रोकथाम कदमों को व्यवस्थित कर सकती है।
  • और अंत में, घटना मॉडल सभी प्रभावित संपत्तियों को एक सामान्य बाल्टी में एकत्र करता है ताकि उपचार पूरी तरह से निष्पादित किया जा सके।

एसओसी को अपनी प्रक्रियाओं को अनुकूलित और स्केल करने की आवश्यकता है क्योंकि खतरे से सुरक्षा विकसित होती है। इस यात्रा को शुरू करने के लिए तत्काल चार कदम उठाएं।

1. ट्राइएज को अलर्ट से घटनाओं में बदलें
चाहे आपका एसओसी प्रारंभिक परीक्षण के लिए सिएम या एक्सडीआर सुरक्षा उत्पाद का उपयोग करता हो, सुनिश्चित करें कि यह अलर्ट के शीर्ष पर सार्थक सहसंबद्ध घटनाओं को प्रस्तुत कर सकता है। अपने लिए महत्वपूर्ण मापदंडों के आधार पर अपनी घटना कतार को प्राथमिकता दें, जैसे कि इस खतरे से संभावित जोखिम, तकनीकों का दायरा और किल-चेन प्रगति, और प्रभावित संपत्तियों की गंभीरता।

फ़िशिंग, रैंसमवेयर और एडवेयर जैसी घटना श्रेणियों के लिए अपनी एसओसी प्लेबुक को मैप करें। परिभाषित करें, प्रति घटना श्रेणी, एसओसी विश्लेषक को तुरंत यह समझने के लिए क्या करना चाहिए कि घटना एक वास्तविक खतरा है या झूठा अलार्म है, और इसे तुरंत आगे बढ़ने से रोकने के लिए।

मंच या तकनीक के आधार पर व्यक्तिगत घटना अलर्ट की जांच के लिए मार्गदर्शन प्रदान करें। सुनिश्चित करें कि घटना में सभी हमलावर गतिविधियों और प्रभावित संपत्तियों की खोज की गई है और कब्जा कर लिया गया है – यह घटना उपचार योजना का आधार बनता है।

अंत में, सभी प्रभावित संपत्तियों और सबूतों सहित पूरी घटना पर विचार करने के बाद, प्रभावित संपत्तियों को एक स्वच्छ परिचालन स्थिति में वापस करने के लिए उपचारात्मक कार्रवाई का आह्वान करें।

2. स्वचालित
संरचित और टिकाऊ तरीके से घटनाओं के लिए एसओसी प्लेबुक का मानचित्रण समन्वित प्रक्रिया स्वचालन को सक्षम बनाता है। कुछ घटना श्रेणियों को पूरी तरह से स्वचालित रूप से नियंत्रित किया जा सकता है और एसओसी के ध्यान के बिना अंत तक हल किया जा सकता है। दूसरों के लिए, कुछ हिस्सों को स्वचालित किया जा सकता है (उदाहरण के लिए, प्रारंभिक ट्राइएज, थोक में उपचार), जबकि अन्य को विशेषज्ञता की आवश्यकता होती है (उदाहरण के लिए, जांच)। स्वचालन को घटना ग्राफ का लाभ उठाना चाहिए ताकि यह निर्धारित किया जा सके कि विश्लेषकों को कहां और कैसे सहायता करनी है, दोहराए जाने वाले मैनुअल काम को बचाना और एसओसी को अधिक जटिल और उच्च जोखिम वाली घटनाओं पर ध्यान केंद्रित करने में सक्षम बनाना।

3. टीम को साथ लाएं
सहसंबद्ध घटनाओं के साथ काम करने के लाभों की व्याख्या करने के लिए समय निकालें और यह दृष्टिकोण रक्षकों के लिए खेल को कैसे बदलता है। MITER ATT&CK ढांचे का अन्वेषण करें और घटनाओं के लिए अपने SOC प्लेबुक मार्गदर्शन की संरचना के लिए इसका उपयोग करें जैसे कि यह स्केल और टिकाऊ हो. जब कोई नया अलर्ट एक्सफ़िल्टरेशन का पता लगाता है और उसे उपयुक्त रणनीति या तकनीक से मैप किया जाता है, तो मौजूदा मार्गदर्शन लागू होता है और ऑनबोर्डिंग या नए मार्गदर्शन के लिए विशेष अलर्ट की कोई आवश्यकता नहीं होती है।

पिछले मामलों पर की गई कार्रवाइयों को रिकॉर्ड करें – आपके सुरक्षा उपकरणों में एकीकृत – और इस डेटा का उपयोग विश्लेषकों को यह समझने में मदद करने के लिए करें कि समय के साथ नई घटनाओं और ट्यून प्रक्रियाओं से बेहतर तरीके से कैसे निपटें। इन सीखों को उद्योगव्यापी सहयोग में विस्तारित करने से संगठन और संपूर्ण सुरक्षा समुदाय के लिए जबरदस्त लाभ हो सकते हैं।

4. खरीदने से पहले कोशिश करें
एक सुरक्षा उत्पाद की तलाश करें जो आपके संगठन को घटनाओं में स्थानांतरित करने में सक्षम बनाता है और इस एसओसी प्रक्रिया विकास का समर्थन करता है। इसे घटनाओं, प्राथमिकता, घटना वर्गीकरण, और घटना पर आपकी एसओसी प्लेबुक को मैप करने की क्षमता और एमआईटीईआर एटीटी एंड सीके रणनीति और तकनीकों के लिए अलर्ट स्तर में अलर्ट के स्वचालित सहसंबंध को लागू करना चाहिए।

अनुकूलन को न भूलें — प्रत्येक संगठन की प्राथमिकताएं और विशेष प्रक्रियाएं होती हैं। संगठन के भीतर और पूरे उद्योग में घटना के इतिहास के आधार पर कार्रवाई के लिए सिफारिशों को एकीकृत करने वाले उत्पाद खोजें।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here