Trois stratégies MDR pour les RSSI gouvernementaux afin de détecter et de répondre rapidement aux menaces

Le décret présidentiel américain sur la cybersécurité, publié en mai 2021, décrit « les cybercampagnes malveillantes persistantes et de plus en plus sophistiquées qui menacent le secteur public, le secteur privé et, en fin de compte, la sécurité et la vie privée du peuple américain ».

Voici trois stratégies pour aider les RSSI du gouvernement à mieux comprendre comment maximiser la détection précoce et la suppression des vulnérabilités et des incidents de cybersécurité dans l'ensemble de leur infrastructure informatique en tirant parti des services de détection et de réponse gérés

Stratégie n° 1 : Adopter une gestion alignée sur le TTP Services de détection et de réponse pour découvrir les risques et les menaces cachés avant qu'ils n'aient un impact sur les réseaux

Choisissez un service MDR aligné sur le cadre MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) autour des tactiques, techniques et procédures (TTP) ). Les TTP sont généralement utilisés pour identifier les comportements des logiciels malveillants et des acteurs menaçants ; cela rend votre MDR plus efficace et efficient par rapport à la méthodologie de recherche de valeurs de hachage, d'adresses IP et de noms de domaine connus sous le nom d'indicateurs de compromis (IoC). Ces IoC ont tendance à générer de nombreux faux positifs tout en manquant l'activité latérale des logiciels malveillants et des menaces sur le réseau.

Stratégie n° 2 : Tirez parti d'un temps de détection de quelques minutes et non de plusieurs semaines en adoptant des services de détection et de réponse gérés contre les ransomwares, les logiciels malveillants de base et les services APT

Les services MDR augmentent les équipes de sécurité internes du gouvernement en fournissant une chasse proactive aux menaces intégrée. intelligence, surveillance de la sécurité 24x7x365, analyse des causes profondes et réponse rapide aux incidents. Pour les départements qui manquent de ressources internes pour créer et maintenir un SOC, des solutions comme OpenText MDR représentent une opportunité idéale de transférer les coûts et les risques associés à l'augmentation des frais généraux du département en mettant en œuvre de nouvelles technologies.

[Étude de cas : Détection et réponse rapides dans l'enseignement supérieur : une université de la santé et des sciences.

• Le client a 12 000 points de terminaison sous gestion (les journaux du pare-feu et du proxy sont également ingérés dans le cadre du service MDR)
• Les services OpenText MDR ont été notifiés le client qu'ils ont été violés avec Cobalt Strike 
• Le client a immédiatement mis la machine hors ligne et a créé une image médico-légale de la machine 
• Le client a envoyé l'image médico-légale aux services OpenText MDR pour effectuer une analyse de la cause première et de la chronologie
• OpenText Les services MDR ont terminé l'analyse et ont rendu compte au client dans les 48 heures suivant la violation

Stratégie 3 : Découvrir les risques et menaces cachés avant ils ont un impact sur les réseaux gouvernementaux

L'article sept du décret exécutif stipule : « Le gouvernement fédéral doit employer toutes les ressources et autorités appropriées pour maximiser la détection précoce des vulnérabilités et des incidents de cybersécurité sur ses réseaux. Cette approche inclura l'augmentation de la visibilité du gouvernement fédéral et la détection des vulnérabilités et des menaces de cybersécurité pour les réseaux d'agences afin de renforcer les efforts de cybersécurité du gouvernement fédéral. les enquêtes de réponse et les missions d'analyse des logiciels malveillants. Cette analyse approfondie et cette compréhension des tactiques, des techniques et des procédures des acteurs de la menace permettent d'accélérer la valorisation, l'identification et la résolution des risques. Des entreprises comme OpenText investissent continuellement dans de telles solutions contre les menaces afin que leurs capacités de détection et de réponse puissent inclure des algorithmes avancés pour les techniques et procédures de modélisation des menaces (TTP). Les résultats :

• Taux de détection jusqu'à 99 % pour les menaces inconnues qui ont contourné la sécurité du périmètre et sont présentes sur le réseau.
• Délai moyen de détection (MTTD) inférieur à 30 minutes. Selon un rapport de l'institut SANseules 50 % des organisations ont un MTTD inférieur à 24 heures.
• Jusqu'à 97 % de réduction du bruit des événements et des alertes faussement positives, concentrant les analystes sur les alertes qui représentent les plus grands risques tout en augmentant la précision de l'identification des menaces.

Le MDR d'OpenText peut soit fournir les agents de point de terminaison et les capteurs nécessaires pour surveiller l'environnement de travail, soit nous pouvons travailler avec des agents EDR que vous avez peut-être déjà déployés. Nos sources de données s'étendent au-delà du point de terminaison pour augmenter et ajouter du contexte et de l'enrichissement aux alertes, y compris les proxys, les pare-feu d'entreprise, les serveurs Web et les services d'authentification.

À propos d'OpenText MDR

MDR renforce les équipes de sécurité internes des agences pour une approche proactive de la cyber-résilience et de la chasse aux menaces. OpenText MDR associe les meilleures technologies à un personnel de sécurité avec des années d'expérience dans les enquêtes de réponse aux violations et les missions d'analyse de logiciels malveillants. Cette vaste expérience et cette compréhension des tactiques, des techniques et des procédures des acteurs menaçants permettent d'accélérer la valorisation, l'identification et la résolution des risques. OpenText investit continuellement cette expérience dans l'amélioration de sa capacité de détection et de réponse et dans la création d'algorithmes avancés pour la modélisation des menaces.

Notre offre MDR peut se déployer en quelques jours, prendre en charge le mélange de technologies d'alerte existantes propres à chaque agence, fournir la plate-forme centrale requise pour partager les renseignements sur les menaces, l'analyse des causes profondes et le manuel IR standardisé.