⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Apesar da abundância de telemetria à disposição dos analistas, muitas equipes de operações de segurança lutam para responder a algumas perguntas básicas durante a investigação de incidentes: O que aconteceu? Que evidências temos? Como sabemos que estamos vendo tudo, no contexto?
Responder a essas perguntas exige que as equipes vão além dos alertas, a base mais comum para a triagem inicial. Mas as investigações (e os seus resultados) exigem provas defensáveis, e não suposições, que é o que os alertas tendem a oferecer.
Os alertas estão se tornando menos úteis à medida que a descoberta de vulnerabilidades se acelera (também conhecida como Era Mythos). A maioria das organizações não consegue investigar o volume de novas descobertas com os fluxos de trabalho existentes. Mesmo com o aumento da automação, as equipes de SecOps precisam de evidências validadas de exploração e exposição ativas, e não de mais telemetria bruta.
À medida que a IA agiliza os ataques e a defesa, as equipes de segurança precisam estabelecer as bases que lhes permitam validar as descobertas, compreender o comportamento do invasor e interromper o tráfego suspeito antes que resulte em uma violação.
NDR Essentials: A Practical Guide to Network Detection and Response, de Richard Bejtlich, publicado em parceria com a Corelight, explora como a detecção e resposta de rede (NDR) ajuda os profissionais a navegar na era atual das redes. O guia gratuito é uma introdução à NDR e um recurso prático para equipes que buscam fortalecer a caça a ameaças e as investigações assistidas por IA.
O caso da interdição da rede
Muitos programas de segurança concentram-se na prevenção. A realidade, porém, é que as organizações não podem simplesmente mudar para a esquerda ou para a direita. Atenção e controle devem ser colocados durante toda a sequência de ataque.
Se os controles preventivos fossem a resposta simples, as credenciais roubadas não funcionariam quando um invasor conseguisse se firmar. O malware seria interrompido no perímetro. E os dados nunca sairiam do seu ambiente de armazenamento.
No entanto, esses eventos ocorrem o tempo todo.
Por estas razões, Bejtlich argumenta que os programas de segurança resilientes devem concentrar-se na interdição: identificar e interromper atividades maliciosas antes que os atacantes atinjam os seus objetivos.
O verdadeiro sucesso defensivo depende da capacidade de uma organização isolar e conter atores mal-intencionados após o comprometimento inicial, mas antes de uma violação total. A interdição, argumenta ele, muda o foco das listas de bloqueio básicas para a interrupção ativa de ameaças dentro do perímetro. Ele permite a mitigação de vulnerabilidades e a contenção de ameaças, ajudando a interromper um ataque antes que o adversário cumpra uma missão principal.
O guia explica como a NDR oferece suporte à interdição, fornecendo visibilidade do tráfego que circula pela rede. Vale a pena explorar em profundidade quatro fontes principais de evidências de rede:
Capturas completas de pacotes
Arquivos extraídos
Registros de transações
Alertas e detecções
Em vez de funcionar como uma barreira passiva, a NDR moderna facilita a intervenção activa. Fornece às equipes de segurança o conhecimento situacional e o contexto para evitar a propagação de um ataque e preservar evidências de rede de alta fidelidade.
A caça a ameaças começa com uma hipótese
Um dos capítulos mais fortes do livro concentra-se em como as organizações podem evoluir a caça às ameaças para corresponder às técnicas atuais dos invasores, capazes de contornar os limites tradicionais de detecção.
De acordo com Bejtlich, a caça às ameaças não deve ser baseada no acompanhamento de alertas. Em vez disso, deveria começar com uma hipótese sobre técnicas adversárias. Depois que uma hipótese é formada, o analista executa consultas nos logs e sessões da rede para validar ou refutar a teoria.
As evidências da rede continuam sendo o nexo da investigação. As técnicas baseadas em rede que suportam a caça proativa a ameaças incluem:
Identificar executáveis
Investigue protocolos incomuns
Rastreie grandes transferências de dados de saída
Detectar movimento lateral
Analise a exposição do certificado
O foco da busca deve ser em anomalias específicas e observáveis, em vez de avisos de segurança genéricos, que é precisamente o que pode ser obtido com a observação de transações na rede.
IA na detecção e resposta de rede
A inteligência artificial transformou a defesa da rede, assim como transformou os ataques contra a rede. No capítulo 5 do guia, Bejtlich descreve como os analistas do SOC podem usar a IA para um bem maior – criando eficiências, reduzindo a carga cognitiva e melhorando a coleta de evidências.
Ele cobre três áreas funcionais em profundidade:
Estruturas de alerta otimizadas: onde e como os dados de tráfego são capturados — na borda e/ou no centro — e como cada um afeta a análise.
Triagem de agente para acelerar os ciclos de resposta a incidentes: como agentes autônomos devem ser usados para executar manuais, mas igualmente importante, habilidades de tomada de decisão estratégica de analistas humanos de alto nível.
Interoperabilidade de ferramentas: embora a rede seja frequentemente chamada de “verdade básica”, a investigação moderna de ataques requer uma visão holística da rede, dos endpoints e da nuvem.
Responder a essas perguntas exige que as equipes vão além dos alertas, a base mais comum para a triagem inicial. Mas as investigações (e os seus resultados) exigem provas defensáveis, e não suposições, que é o que os alertas tendem a oferecer.
Os alertas estão se tornando menos úteis à medida que a descoberta de vulnerabilidades se acelera (também conhecida como Era Mythos). A maioria das organizações não consegue investigar o volume de novas descobertas com os fluxos de trabalho existentes. Mesmo com o aumento da automação, as equipes de SecOps precisam de evidências validadas de exploração e exposição ativas, e não de mais telemetria bruta.
À medida que a IA agiliza os ataques e a defesa, as equipes de segurança precisam estabelecer as bases que lhes permitam validar as descobertas, compreender o comportamento do invasor e interromper o tráfego suspeito antes que resulte em uma violação.
NDR Essentials: A Practical Guide to Network Detection and Response, de Richard Bejtlich, publicado em parceria com a Corelight, explora como a detecção e resposta de rede (NDR) ajuda os profissionais a navegar na era atual das redes. O guia gratuito é uma introdução à NDR e um recurso prático para equipes que buscam fortalecer a caça a ameaças e as investigações assistidas por IA.
O caso da interdição da rede
Muitos programas de segurança concentram-se na prevenção. A realidade, porém, é que as organizações não podem simplesmente mudar para a esquerda ou para a direita. Atenção e controle devem ser colocados durante toda a sequência de ataque.
Se os controles preventivos fossem a resposta simples, as credenciais roubadas não funcionariam quando um invasor conseguisse se firmar. O malware seria interrompido no perímetro. E os dados nunca sairiam do seu ambiente de armazenamento.
No entanto, esses eventos ocorrem o tempo todo.
Por estas razões, Bejtlich argumenta que os programas de segurança resilientes devem concentrar-se na interdição: identificar e interromper atividades maliciosas antes que os atacantes atinjam os seus objetivos.
O verdadeiro sucesso defensivo depende da capacidade de uma organização isolar e conter atores mal-intencionados após o comprometimento inicial, mas antes de uma violação total. A interdição, argumenta ele, muda o foco das listas de bloqueio básicas para a interrupção ativa de ameaças dentro do perímetro. Ele permite a mitigação de vulnerabilidades e a contenção de ameaças, ajudando a interromper um ataque antes que o adversário cumpra uma missão principal.
O guia explica como a NDR oferece suporte à interdição, fornecendo visibilidade do tráfego que circula pela rede. Vale a pena explorar em profundidade quatro fontes principais de evidências de rede:
Capturas completas de pacotes
Arquivos extraídos
Registros de transações
Alertas e detecções
Em vez de funcionar como uma barreira passiva, a NDR moderna facilita a intervenção activa. Fornece às equipes de segurança o conhecimento situacional e o contexto para evitar a propagação de um ataque e preservar evidências de rede de alta fidelidade.
A caça a ameaças começa com uma hipótese
Um dos capítulos mais fortes do livro concentra-se em como as organizações podem evoluir a caça às ameaças para corresponder às técnicas atuais dos invasores, capazes de contornar os limites tradicionais de detecção.
De acordo com Bejtlich, a caça às ameaças não deve ser baseada no acompanhamento de alertas. Em vez disso, deveria começar com uma hipótese sobre técnicas adversárias. Depois que uma hipótese é formada, o analista executa consultas nos logs e sessões da rede para validar ou refutar a teoria.
As evidências da rede continuam sendo o nexo da investigação. As técnicas baseadas em rede que suportam a caça proativa a ameaças incluem:
Identificar executáveis
Investigue protocolos incomuns
Rastreie grandes transferências de dados de saída
Detectar movimento lateral
Analise a exposição do certificado
O foco da busca deve ser em anomalias específicas e observáveis, em vez de avisos de segurança genéricos, que é precisamente o que pode ser obtido com a observação de transações na rede.
IA na detecção e resposta de rede
A inteligência artificial transformou a defesa da rede, assim como transformou os ataques contra a rede. No capítulo 5 do guia, Bejtlich descreve como os analistas do SOC podem usar a IA para um bem maior – criando eficiências, reduzindo a carga cognitiva e melhorando a coleta de evidências.
Ele cobre três áreas funcionais em profundidade:
Estruturas de alerta otimizadas: onde e como os dados de tráfego são capturados — na borda e/ou no centro — e como cada um afeta a análise.
Triagem de agente para acelerar os ciclos de resposta a incidentes: como agentes autônomos devem ser usados para executar manuais, mas igualmente importante, habilidades de tomada de decisão estratégica de analistas humanos de alto nível.
Interoperabilidade de ferramentas: embora a rede seja frequentemente chamada de “verdade básica”, a investigação moderna de ataques requer uma visão holística da rede, dos endpoints e da nuvem.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sobrevivendo #à #era #do #mito: #richard #bejtlich #em #defesa #da #ndr
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário