tirsdag 14. mai 2013

3 Big Mistakes In Incident Response

I denne artikkelen presenteres det tre av de største feilene en kan gjøre når man håndterer cyberangrep.

http://www.darkreading.com/management/3-big-mistakes-in-incident-response/240154817/

Synes artikkelen i utgangspunktet er god. Hovedtema er at manglende SA (Situational Awareness) fører til feil beslutning. Det er imidlertid ikke alt jeg er enig i:

1. ASSuming It's An APT.
Budskapet er at selv om "it walks like a duck, its not a duck". Det er jo åpenbart mulig at "vanlige kriminelle" etterligner TTP'ene til etterretningsorganisasjoner og andre offensive cyberkapabiliteter, men er det grunn god nok til å la være å undersøke om en hendelse kan være utført av sistnevnte aktører?
Selvfølgelig ikke. Jeg mener at det tradisjonelle måten å tenke eskalering, ikke fungerer i en Cyber Defence organisasjon. Hendelseshåndtering som skjer i driftsorganisasjoner kan være organisert slik at den som trenger hjelp først kommer i kontakt med helpdesk. Denne kan være bemannet med personell som har mindre utdanning og erfaring enn det som kreves for å løse mer komplekse problemer. Hvorfor? Jo fordi at de aller fleste hendelsene kan løses med en "mekanisk" tilnærming til problemløsning. Det er derfor de utstyrt med flytskjema for problemløsning, og det er derfor du må snakke med noen andre hvis flytskjema ikke løser problemet. Eskalering funker for disse problemene.

For en Cyber Defence analytiker derimot, er det behov for at eksperten er i fremste rekke. Det krever mye kunnskap og mye erfaring for å kunne avgjøre om et stykke data/informasjon er relevant eller ikke. Jeg er blitt fortalt at akuttmottaket på sykehuset fungerer på samme måte. Det er eksperten som undersøker deg først. Det er vesentlig å finne ut om du bare har brukket armen i den bilulykken, eller om du også har en langt mer alvorlig hodeskade som skal behandles først.

Derfor skal Cyber Defence analytikeren undersøke saken først, og hver sak må behandles som om det er en avansert motstander en står over for.

2. Not Monitoring Traffic.
Sikkerhetsovervåking bygger SA. Det er ingen vei utenom. Vil du vite hva som skjer i nettverkene dine, så må du overvåke dem. Uten overvåking har du ingen evne til å håndtere hendelser. Er forøvrig helt enig i hva artikkelen skriver om Netflow analyse. Om jeg måtte velge kun ett verktøy for overvåking, ville det vært Netflow-analyse.

3. Focusing Only On The Malware. 
Selv om jeg er enig i at en ikke bør fokusere på malware alene, synes jeg artikkelen bommer med begrunnelsen. Malware-analyse kan være et viktig bidrag til å avdekke motstanders intensjon, kapabilitet og kapasitet. Det kan bidra til å avdekke hvilken informasjon som er kompromittert eller ødelagt, og hvilken som ikke er det. Å si at malware-analyse ikke kan gi deg "root cause" er direkte feil.

Til slutt en påstand fra artikkelen som jeg ikke kan la passere:

But identifying the attacker is not straightforward in cyberattacks, and incident response isn't about ID'ing the individual attackers, anyway, Cylance's Shook says.
Dette utsagnet plasserer "incident response" nærmere tradisjonell informasjonssystemsikkerhet, enn slik jeg tenker rundt cyber defence. For sistnevnte handler det åpenbart om å forsøke å identifisere hvem motstanderen er, hva han vil, hvilke kapabiliteter og kapasiteter han har. Det er blant annet her at Cyber Defence skiller seg ut fra informasjonssystemsikkerhet.


Ingen kommentarer:

Legg inn en kommentar