La nécessité d'une visibilité continue du point final

Dans le monde de la sécurité, vous pouvez toujours compter sur une vérité simple: vous ne pouvez pas répondre à une menace qui n'a pas été détectée.

Et avec le nombre croissant d'incidents de cybersécurité, les responsables de la sécurité ne peuvent plus risquer de ne pas voir la menace proverbiale «aiguille dans une botte de foin» qui aggrave un problème de sécurité beaucoup plus grave. Pourtant, une étude réalisée par l’équipe de gestion des risques de Verizon dans le rapport annuel sur les enquêtes sur la violation de données indique que 56% des violations éventuelles mettent des semaines, voire des mois, à se développer et à rester non découvertes par les équipes d’InfoSec.

il faut tout voir – même si cela implique de gérer le sous-produit de la gestion d'un trop grand nombre d'alertes de sécurité.

Détection de la menace et nécessité d'une visibilité continue du point final

Prenons l'exemple de la violation d'objectif en 2013 . . Les pirates ont accédé au réseau cible via un fournisseur tiers avec un courrier électronique de phishing initial. Ensuite, les logiciels malveillants ont été utilisés pour compromettre les informations d'identification de connexion. La technologie d'alerte a correctement identifié l'activité suspecte des pirates, mais en raison du «grand nombre d'événements techniques», l'alerte a été ignorée par l'équipe InfoSec. Le résultat? Le compromis n'a pas été résolu et s'est transformé en une violation de données affectant environ 70 millions de personnes

. Comme le montre cet exemple, la détection de menaces est une première étape cruciale sur la voie du maintien de la sécurité de l'entreprise. Si rien n'est fait, le compromis continuera de croître et de se figer dans les réseaux informatiques jusqu'à ce que ce compromis dégénère en violation de données. Si des données sensibles sont volées, la confiance envers la marque est compromise, les sanctions réglementaires sont intégrées et le processus de récupération long et difficile pour l'entreprise doit commencer.

Tous les compromis doivent être pris en compte, et tout effort doit être mis en avant pour résoudre les problèmes de ressources et de personnel. J'ai déjà partagé dans un précédent blog des dividendes immédiats et à long terme pour les responsables de la sécurité dans le climat actuel. De toute évidence, les responsables de la sécurité doivent faire preuve de prudence et viser une visibilité à 100% et une détection à 100% des menaces comme principe directeur et méthodologie. Cependant, une fois que votre équipe de sécurité aura une visibilité maximale et détectera le plus possible de menaces potentielles à 100%, il y aura trop d'alertes . Ceci est un sous-produit de visibilité nécessaire, mais reste une question qui mérite l'attention, car elle crée un nombre exorbitant d'événements liés à la sécurité.

La bonne nouvelle est que la technologie existante permet de résoudre ces problèmes et d'atténuer le sentiment d'inquiétude et d'anxiété qui se profile à l'horizon. liées à la visibilité et à la validation des événements de sécurité.

Réponse sans peur avec EnCase

Bien qu'elles soient efficaces contre les vulnérabilités existantes, les technologies de sécurité du périmètre de protection ne garantissent pas une prévention totale des menaces. En matière de cybercriminalité, les attaques avancées et ciblées sont le principal moyen d'infliger des dégâts. Les attaques avancées et ciblées s'appuient souvent sur des tactiques de campagne, avec une reconnaissance étendue, des tactiques de violation multiples, un commandement et un contrôle avec des informations d'identification compromises, une élévation de privilèges et, éventuellement, une exfiltration de données. En d'autres termes, les technologies de prévention existent pour traiter les vulnérabilités existantes et sont moins efficaces contre les nouvelles attaques réseau, les attaques «zero day», avancées et ciblées.

Les responsables de la sécurité avertis s'attaquent aux menaces zero-day, aux logiciels malveillants APT, au vol commis par un initié privilégié et à la nation Attaques sponsorisées par les États avec la technologie EDR (Endpoint Detection and Response) comme OpenText ™ EnCase ™ Endpoint Security.

EnCase Endpoint Security permet aux membres expérimentés et débutants des équipes de réponse aux incidents de réagir de manière confidentielle et complète. réagissez aux menaces, y compris les vulnérabilités héritées, les attaques externes ciblées et les menaces internes.

Encase Endpoint Security:

• Aide les équipes des relations infrarouges à éviter les opérations d'effacement manuel et de réimage avec la résolution chirurgicale en mode réseau
• . ] confiant utilisé par les analystes de la sécurité de niveau I
• Amplifie les capacités des utilisateurs expérimentés avec des workflows et des outils de construction suggérés pour le personnel débutant [19659015] S'intègre facilement aux technologies de sécurité adjacentes pour une efficacité opérationnelle maximale
• Aide les équipes IR à hiérarchiser les réponses aux alertes avec une intelligence de la menace intégrée et le contexte
• Permet aux équipes IR d'évaluer pleinement les attaques avancées et ciblées avec un jeu complet de fonctionnalités DFIR / Tier III

En savoir plus

Découvrez dans notre dernier livre blanc, Fearless Response avec OpenText EnCase comment réagir sans crainte et récupérer de manière judiciaire avec OpenText EnCase Endpoint Security. Vous pouvez également en savoir plus sur la recherche du SANS Institute et savoir comment remédier à la pénurie de main-d'œuvre qualifiée dans la sécurité dans mes précédents articles de blog, et me rejoindre à Enfuse pour apprendre à répondre aux besoins changeants du paysage de la sécurité des entreprises.