Fermer

octobre 14, 2021

#BeCyberSmart : Détectez de manière médico-légale et répondez rapidement


Octobre est le mois de la sensibilisation à la cybersécurité. Pour marquer cela, j'écris sur un sujet qui me tient à cœur, un sujet qui, selon moi, est notre meilleure chance de tenir nos adversaires et nos mauvais acteurs à distance.

Plus précisément, la détection proactive des incidents de cybersécurité au sein du gouvernement fédéral. Infrastructures gouvernementales. Et en utilisant les technologies pour orienter la détection et la réponse des points de terminaison (EDR) vers la chasse cybernétique active, la réponse aux incidents et la correction.

Notre monde est constamment attaqué.

En 2020, la Cybersecurity & Infrastructure Security Agency (CISA) ) a travaillé pour accélérer la suppression de plus de 7 000 domaines frauduleux et bloqué plus de 6 829 domaines malveillants pour attaquer les réseaux fédéraux.

Les responsables de la sécurité de l'information (CISO) des agences gouvernementales comprennent l'importance de la réponse aux incidents dans le contexte d'une entreprise globale. stratégie de gestion des risques. Les stratégies courantes pour effectuer une transition dite « passer à droite » en mettant l'accent sur l'échelle de prévention-détection-réponse soulignent à quel point il est devenu essentiel pour les équipes dirigées par le RSSI de disposer d'outils, de processus et de procédures efficaces pour soutenir leur programme de réponse aux incidents. .

Ce nouvel accent s'appuie sur une base mature. La réponse aux incidents est un élément des programmes de sécurité depuis leur création, et la plupart des RSSI savent comment gérer un cas en cours ou un incident d'exploitation. Ce qui n'était peut-être pas aussi clair au départ, mais qui est maintenant devenu essentiel, c'est le rôle que jouent les capacités EDR pour garantir que les incidents sont détectés, analysés de manière légale et traités rapidement.

Gardez un 360 degrés. view

Les équipes de sécurité ont besoin d'un outil EDR avec une visibilité à 360 degrés des points de terminaison pour valider, analyser, délimiter et répondre aux incidents rapidement et complètement. Les meilleures solutions de détection et de réponse aux points de terminaison (EDR) permettent aux organisations de lutter contre les formes d'attaques les plus avancées au point de terminaison, qu'elles proviennent d'acteurs externes ou de menaces internes.

L'augmentation de la fréquence des attaques a accéléré le besoin de Solutions EDR pour fournir des détails au niveau des artefacts et une visibilité complète. OpenText EnCase Endpoint Security produit plus de détails au niveau des artefacts en moyenne par rapport à de nombreuses autres technologies similaires. Avoir une visibilité à 360° sur l'attaque réduit le risque que les attaquants ne soient pas détectés.

La télémétrie des points de terminaison permet de fournir une image plus complète d'une attaque. Sans cela, les équipes de sécurité peuvent ne pas savoir quand et comment elles sont compromises. Les principales solutions EDR utilisent la détection par télémétrie pour accélérer la réponse aux incidents en donnant aux équipes de sécurité le pouvoir de détecter et d'agir rapidement.

EnCase Endpoint Security est conçu avec une automatisation et une efficacité opérationnelle qui aident les intervenants en cas d'incident à trouver et à trier les incidents de sécurité plus rapidement, permettant ainsi aux organisations de revenir en arrière. à un état de confiance plus rapidement, réduisant le risque de perte ou de dommages potentiels.

Détection en temps réel des menaces de sécurité des terminaux

Les équipes de sécurité doivent redéfinir leur flux de travail du mode « alerte » passif au « recherche proactive des menaces » ', recherchant activement des anomalies indiquant une faille de sécurité. Il crée une base d'activité des terminaux utilisée pour détecter un comportement anormal ou recréer comment une violation de données s'est produite à l'aide de renseignements historiques.

Cependant, les équipes de sécurité n'ont pas toujours la capacité de détecter, de répondre et de se défendre manuellement contre les dernières cybermenaces dans le temps requis. Il peut également y avoir des retards lorsque les fournisseurs EDR s'appuient sur la collecte de données télémétriques dans un emplacement central pour les interrogations au lieu d'avoir un agent actif sur le point de terminaison. Effectuer des détections directement sur le point de terminaison réduit le temps nécessaire pour identifier une menace.

Dans les Évaluations ATT&CK R3 de MITRE EngenuityOpenText EnCase Endpoint Security a enregistré plus de 99 % des détections en temps réel. Lorsqu'une violation se produit et que le temps presse, le logiciel EDR doit détecter les menaces en temps réel et présenter des notifications dans une interface facile à lire pour la réponse la plus rapide.

Réponse plus rapide aux activités malveillantes

Les outils EDR accélèrent le temps de réponse, réduisant considérablement le risque de perte de données et d'endommagement des systèmes. EnCase Endpoint Security, par exemple, réduit le temps de tri jusqu'à 90 %, aidant les équipes de réponse aux incidents (IR) à valider et à évaluer l'impact des activités malveillantes, même les logiciels malveillants polymorphes ou résidant en mémoire. Les organisations peuvent réaliser des gains d'efficacité encore plus importants en intégrant EnCase Endpoint Security à des technologies d'alerte tierces via des API RESTful.

Cependant, la vitesse et la rapidité avec laquelle les outils de sécurité peuvent exécuter des requêtes sur certains points de terminaison sont en grande partie prises en compte. Bien que la vitesse soit importante, la profondeur de la visibilité des points de terminaison permise par votre solution EDR est bien plus critique. Une solution EDR doit être capable de voir au-delà des API standard et des journaux système du système d'exploitation et, idéalement, d'atteindre les e-mails, le cloud et les référentiels sur site.

Plus important encore, EDR ne doit pas piétiner les résidus médico-légaux laissés. sur le point de terminaison par chaque interaction utilisateur et application, y compris celles cachées dans les systèmes de fichiers et la mémoire que les fournisseurs de systèmes d'exploitation n'ont jamais voulu que vous voyiez, au lieu de cela, ils doivent préserver les artefacts médico-légaux pour l'analyse des causes profondes. , cliquez ici.




Source link