Эксперты по безопасности предлагают использовать (индикаторы поведения) IOB для перехода от реакции на кибератаку к предотвращению инцидента.
Большинство профессионалов в области кибербезопасности были обучены использовать индикаторы компрометации (IOC) при реагировании на кибератаки, и их не устраивает постфактумный характер такого подхода. При переходе на удаленную работу во время пандемии появилось еще одно существенное ограничение, с которым борются профессионалы в области кибербезопасности. Данная проблема удаляет четко очерченный периметр, к которому они привыкли.
Теперь новый периметр - это пользователи, а не сеть и тяжесть данных сместилась с корпоративных централизованных центров обработки данных на приложения SaaS и облачные рабочие нагрузки, и это создает новые проблемы, особенно с точки зрения подключения и защиты данных. Николас Фишбах, глобальный технический директор и вице-президент SASE Engineering в Forcepoint, в разделе «Переключение с IOC на IOB».
Что такое индикаторы поведения?
Фишбах и Алан Росс, главный архитектор X-Labs Forcepoint, выступают за другое решение: индикаторы поведения (IOB).
IOB - это поведение, которое отслеживается для понимания рисков внутри организации. Индикаторы поведения (IOB) - с 2020 Vision. Каждый раз, когда документ создается, сохраняется, изменяется, отправляется по почте, публикуется, выгружается, загружается или удаляется, эти действия анализируются как последовательность для определения контекста и цели.
IOB - это неожиданные и несанкционированные модификации нормального рабочего состояния. Вот некоторые примеры:
- Создание или изменение запланированных задач
- Установка новых приложений или сервисов
- Создание новых учетных записей пользователей
- Отправка электронной почты и вложений в личный домен
- Создание новых вычислительных экземпляров
- Доступ к сохраненной информации
- Выполнение запросов и экспорт результатов
Использование инструментов совместной работы и таких действий на веб-сайтах, как обмен сообщениями, отправка вложений, загрузка информации или использование новых инструментов или сайтов, следует рассматривать как IOB.
В чем разница между IOC и IOB?
Может показаться, что между ними очень мало различий, но это это не так. IOB - это больше, чем просто мониторинг деятельности, добавив, что отрасли необходимо действительно понимать каждую часть последовательности. Например, вместо того, чтобы просто знать, что данные были украдены, специалистам нужно также знать отдельные шаги, которые делают кражу возможной, путем разделения процесса на IOB.
Изучение IOB улучшает понимание того, какие риски принимаются. Существуют сотни показателей поведения, которые мы можем наблюдать и собирать. После того, как мы соберем IOB, мы сможем объединить их, чтобы описать конкретное поведение, личности и бизнес-результаты, которые могут проявиться в результате такого поведения.
Одним из положительных результатов использования IOB является возможность предсказать, что произойдет, если организация внесет изменения в процесс безопасности (например, отключит USB для внешних устройств хранения).
Некоторые примеры того, что мог бы считать IOB:
- Пользователи создают адрес для пересылки электронной почты на канал Slack
- Пользователи переходят из корпоративной сети в телефонную точку доступа и обратно
- Пользователи загружают код в репозиторий Git или в неизвестный домен
- Пользователи загружают информацию на съемное запоминающее устройство
- Пользователи устанавливают на свои ноутбуки персональное облачное приложение
Возможность изменять поведение
Такой подход позволяет защитить активы, предпринимая действия в зависимости от уровня риска и контекста ситуации пользователя. Мы можем предупредить пользователя и позволить ему остановиться или продолжить, а при необходимости мы можем принять меры для защиты данных, заблокировать действия или даже отключить доступ для учетной записи и устройства пользователя.
Использование IOB для формулирования поведенческих обнаружений резко снизит количество шума и ложных срабатываний, за которыми организация должна наблюдать. Аналитики безопасности очень устают от ложных срабатываний и теперь существует гораздо лучший способ собрать и предоставить конечному пользователю наиболее актуальную информацию.
Зачем использовать IOB?
Преимущество использования IOB - понимание истории и поведения пользователей, что позволяет судить о том, следует ли разрешать продолжение этого поведения или остановить.
Примером может служить менеджер, выступающий на важной конференции. Организатору нужна копия презентации. Менеджер сохраняет презентацию на флешку и передает ее организатору. Знание о том, что такое поведение может произойти с этим конкретным пользователем, позволяет избежать предупреждения об использовании флэш-накопителей и позволяет менеджеру выполнить свои обязательства. IOB представляют лучшую возможность для обеспечения адаптивного доверия, останавливая отрицательное и оставляя положительное.