คุณมีสัญญาณและการควบคุมการรักษาความปลอดภัยตัวตนทั้งหมดเพื่อทำให้ SSF/CAEP ทำงานหรือไม่ 

สารบัญ

แบ่งปันโพสต์นี้:

ทุกๆวันของคุณ Active Directory ประมวลผลคำขอการตรวจสอบสิทธิ์ การเปลี่ยนแปลงสิทธิ์ และเหตุการณ์การเข้าถึงนับล้านรายการ ซ่อนอยู่ในกระแสกิจกรรมเหล่านี้คือรูปแบบการโจมตีที่อาจเกิดขึ้นที่ละเอียดอ่อน: การรับรอง การลดระดับ พฤติกรรมบัญชีบริการที่ผิดปกติ และความพยายามในการเข้าถึงที่น่าสงสัยเครื่องมือด้านความปลอดภัยของคุณอาจตรวจจับสัญญาณเหล่านี้ได้ แต่เมื่อมีกรอบงานเช่น Security Signals Framework (SSF) และ Continuous Access Evaluation Protocol (CAEP) เกิดขึ้นเพื่อเชื่อมต่อเครื่องมือด้านความปลอดภัย องค์กรต่างๆ จะต้องถามตัวเองว่า โซลูชันที่มีอยู่มีความสามารถพื้นฐานที่จำเป็นในการทำให้กรอบงานเหล่านี้มีประสิทธิผลหรือไม่ 

ความท้าทายด้านการบูรณาการความปลอดภัยในปัจจุบัน: การเปลี่ยนแปลงครั้งใหญ่ 

ผู้นำด้านความปลอดภัยขององค์กรยืนอยู่บนจุดเปลี่ยนสำคัญ ในที่สุดก็มีโอกาสที่จะบูรณาการเครื่องมือด้านความปลอดภัยได้อย่างราบรื่น แต่ความสำเร็จนั้นต้องการมากกว่าแค่การนำกรอบงานใหม่มาใช้ องค์กรต่างๆ ต้องคิดทบทวนอย่างจริงจังว่าโซลูชันด้านความปลอดภัยของตนทำงานร่วมกันอย่างไรเพื่อตรวจจับ แบ่งปัน และตอบสนองต่อภัยคุกคามข้ามขอบเขตความปลอดภัยแบบเดิม 

การคิดทบทวนใหม่ในระดับพื้นฐานนี้เกิดขึ้นในช่วงเวลาสำคัญของวิวัฒนาการด้านความปลอดภัย ซึ่งขับเคลื่อนโดยการเปลี่ยนแปลงสำคัญ 3 ประการที่จะเปลี่ยนแปลงแนวทางของเราในการบูรณาการ: 

กะแรก:การนำการทำงานแบบไฮบริดและบริการคลาวด์มาใช้เพิ่มขึ้นอย่างรวดเร็วได้ทำลายขอบเขตความปลอดภัยแบบเดิมลง ทำให้เครื่องมือต่างๆ ต้องปรับตัวให้เข้ากับขอบเขตที่กว้างไกลออกไป ขอบเขตของข้อมูลประจำตัวมีความคล่องตัวและเปลี่ยนแปลงตลอดเวลา โดยผู้ใช้รายเดียวสามารถเข้าถึงทรัพยากรจากสถานที่ อุปกรณ์ และเครือข่ายต่างๆ ได้หลายที่พร้อมกัน 

กะที่สอง: การขาดแคลนบุคลากรด้านความปลอดภัยอย่างรุนแรงทำให้กระบวนการเชื่อมโยงและตอบสนองด้วยตนเองไม่ยั่งยืน ทีมงานด้านความปลอดภัยไม่สามารถรับมือกับปริมาณการแจ้งเตือนและความซับซ้อนของภัยคุกคามผ่านการวิเคราะห์และตอบสนองด้วยตนเองได้อีกต่อไป 

กะที่สาม: การพัฒนาระบบอัตโนมัติด้านความปลอดภัย API ที่ได้มาตรฐาน และการเรียนรู้ของเครื่องจักรทำให้การประสานงานข้ามเครื่องมือแบบเรียลไทม์เป็นไปได้ในทางเทคนิค แม้ว่าความพยายามบูรณาการก่อนหน้านี้จะเน้นที่การแบ่งปันข้อมูลภายหลัง แต่ SSF และ CAEP ถือเป็นโอกาสที่แท้จริงครั้งแรกในการสร้างระบบนิเวศความปลอดภัยที่เชื่อมต่ออย่างแท้จริงซึ่งสามารถเทียบเคียงได้กับความเร็วและขนาดของภัยคุกคามสมัยใหม่ 

วิวัฒนาการของการปฏิบัติการรักษาความปลอดภัย 

หัวใจสำคัญของระบบรักษาความปลอดภัยทางไซเบอร์คือต้องปฏิบัติตามขั้นตอนมาตรฐานที่ตรงไปตรงมา นั่นคือต้องตรวจสอบกิจกรรม ระบุความเสี่ยง และบังคับใช้มาตรการป้องกัน ตัวอย่างเช่น ในระบบรักษาความปลอดภัยปลายทาง เราจะเฝ้าสังเกตการสร้างกระบวนการและการเปลี่ยนแปลงระบบไฟล์ ตรวจจับรูปแบบที่เป็นอันตราย และตอบสนองด้วยการบล็อกการดำเนินการหรือแยกระบบออกจากกัน ระบบรักษาความปลอดภัยเครือข่ายทำงานในลักษณะเดียวกันโดยเฝ้าสังเกตรูปแบบการรับส่งข้อมูล จับกระแสข้อมูลที่ผิดปกติ และบังคับใช้การควบคุมการเข้าถึง แนวทางนี้ใช้ได้ผลดีเมื่อต้องพิจารณาโดเมนความปลอดภัยแต่ละโดเมน 

เรามาดูตัวอย่างในโลกแห่งความเป็นจริงว่าการโจมตีสมัยใหม่สามารถลอดผ่านเครื่องมือความปลอดภัยที่ไม่เชื่อมต่อกันได้อย่างไร (ภายในช่วงเวลาโจมตี 15 นาที): 
 
การเข้าถึงเบื้องต้น (9 น.) 
พนักงานเปิดไฟล์ PDF ที่เป็นอันตรายและรันสคริปต์ PowerShell ที่ซ่อนอยู่ 
เครื่องมือดู: EDR บันทึก PDF และ PowerShell ว่ามีความเสี่ยงต่ำ; เครือข่ายมองเห็นการรับส่งข้อมูล HTTPS ปกติ 

การเก็บเกี่ยวข้อมูลประจำตัว (9 น.) 
ผู้โจมตีดึงข้อมูลรับรองจากหน่วยความจำโดยใช้ Mimikatz 
เครื่องมือดู: บันทึก Windows แสดงการเข้าถึง LSASS; EDR ระบุว่า 'น่าสงสัย' แต่ไม่ได้บล็อก 

การเลื่อนระดับสิทธิ์ (9 น.) 
ที่ถูกบุกรุก บัญชีบริการ เข้าถึงเซิร์ฟเวอร์การพัฒนา 
เครื่องมือดู: AD มองเห็นการตรวจสอบสิทธิ์ปกติ; SIEM บันทึกการเข้าสู่ระบบที่ประสบความสำเร็จหลายครั้ง 

การเคลื่อนไหวด้านข้าง (9 น.) 
ผู้โจมตีเคลื่อนตัวผ่านเครือข่ายโดยใช้การส่งแฮช 
เครื่องมือดู: NDR แจ้งว่าปริมาณการใช้งานเพิ่มขึ้น เครื่องมือระบุตัวตนดูการตรวจสอบสิทธิ์ตามปกติ 

การกรองข้อมูล (9 น.) 
ข้อมูลที่ละเอียดอ่อนจะถูกส่งออกผ่านระบบจัดเก็บข้อมูลบนคลาวด์ที่ได้รับอนุมัติ 
เครื่องมือดู: CASB และ DLP สังเกตกิจกรรมของผู้ใช้ที่ได้รับอนุญาตภายในนโยบาย 

ช่องว่างสำคัญที่ทำให้ผู้โจมตีสามารถเปลี่ยนจากการเข้าถึงเบื้องต้นไปสู่การขโมยข้อมูลได้ภายในเวลาเพียง 15 นาที 
เครื่องมือความปลอดภัยแต่ละตัวจะมองเห็นเฉพาะชิ้นส่วนการโจมตีที่ดูเหมือนถูกต้องเท่านั้น EDR ไม่สามารถเชื่อมต่อการทำงานของไฟล์ได้ การขโมยข้อมูลประจำตัวเครื่องมือระบุตัวตนขาดการเชื่อมโยงระหว่างการใช้งานบัญชีบริการและการบุกรุกเบื้องต้น เครื่องมือเครือข่ายจะมองเห็นการเข้าถึงที่ผ่านการรับรอง ระบบรักษาความปลอดภัยบนคลาวด์จะสังเกตการกระทำที่ได้รับอนุญาต หากไม่มีการประสานงานแบบเรียลไทม์ ห่วงโซ่การโจมตีทั้งหมดจะมองไม่เห็นจนกว่าจะสายเกินไป 

การสร้างระบบนิเวศความปลอดภัยที่เชื่อมต่อ 

นี่คือจุดที่กรอบงานอย่าง SSF และ CAEP เข้ามามีบทบาท กรอบงานเหล่านี้ช่วยให้สามารถแบ่งปันสัญญาณความปลอดภัยแบบเรียลไทม์ระหว่างเครื่องมือและผู้จำหน่ายต่างๆ ได้ โดยการรวมความสามารถในการสื่อสารมาตรฐานไว้ในโซลูชันด้านความปลอดภัย ลองนึกถึงการสร้างภาษาความปลอดภัยสากล เมื่อเครื่องมือ EDR ตรวจพบการดำเนินการกระบวนการที่น่าสงสัย เครื่องมือจะเผยแพร่ข้อมูลนี้ในรูปแบบ SSF มาตรฐานทันที ซึ่งเครื่องมืออื่นๆ ทั้งหมดจะเข้าใจ  

เครื่องมือความปลอดภัยของเครือข่ายสามารถใช้สัญญาณดังกล่าวได้ทันที เชื่อมโยงกับรูปแบบการรับส่งข้อมูล และแบ่งปันข้อมูลสังเกตการณ์ของตนเองที่ได้รับการปรับปรุงกลับมา การรักษาความปลอดภัยตัวตน โซลูชันจะรับสัญญาณเหล่านี้พร้อมกัน เพิ่มบริบทความเสี่ยงของผู้ใช้ และนำเสนอรูปแบบการตรวจสอบสิทธิ์เพื่อสร้างความเข้าใจร่วมกัน 

แทนที่จะบูรณาการแบบจุดต่อจุดที่ซับซ้อน องค์กรต่างๆ สามารถใช้โครงสร้างความปลอดภัยแบบรวมศูนย์ซึ่งภัยคุกคามจะกระตุ้นให้เกิดการตอบสนองแบบข้ามโดเมนทันทีผ่านทางบัสข้อความกลางของ SSF/CAEP 
 
อย่างไรก็ตาม กรอบการทำงานการสื่อสารแบบเรียลไทม์นี้มอบคุณค่าได้ก็ต่อเมื่อเครื่องมือความปลอดภัยสามารถสร้างสัญญาณที่ครอบคลุมและแปลงสัญญาณเหล่านั้นให้เป็นการดำเนินการอัตโนมัติได้ –– ท้ายที่สุดแล้ว การมีท่อเพื่อแชร์ข้อมูลก็ไม่มีความหมายหากเครื่องมือของคุณไม่สามารถพูดภาษาหรือดำเนินการตามสิ่งที่ได้ยิน 
 

ความปลอดภัยของข้อมูลประจำตัว: จากการตรวจจับสู่การตอบสนอง 

โดเมนความปลอดภัยของข้อมูลประจำตัวแสดงข้อกำหนดเหล่านี้ได้อย่างสมบูรณ์แบบ ด้วย Active Directory การประมวลผลการพิสูจน์ตัวตนและเหตุการณ์การเข้าถึงนับไม่ถ้วน องค์กรต่างๆ จำเป็นต้องมีทั้งการมองเห็นที่ครอบคลุมและความสามารถในการตอบสนองอย่างรวดเร็ว โซลูชันการรักษาความปลอดภัยตัวตนของคุณต้องตรวจจับรูปแบบการเข้าถึงที่น่าสงสัยระหว่างทรัพยากรแบบเรียลไทม์ ทำเครื่องหมายความพยายามพิสูจน์ตัวตนที่ล้มเหลวหลายครั้งทันที และตรวจจับเมื่อผู้ใช้เข้าถึงปลายทางจำนวนผิดปกติในช่วงเวลาสั้นๆ แต่การตรวจจับเพียงอย่างเดียวไม่เพียงพอ สแต็กความปลอดภัยของคุณต้องดำเนินการตามสัญญาณเหล่านี้ ซึ่งหมายความว่าต้องจำกัดการเข้าถึงทันที บัญชีที่ถูกบุกรุกจำเป็นต้องมีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อระดับความเสี่ยงเพิ่มขึ้น แยกระบบโดยอัตโนมัติเพื่อป้องกันการโจมตีที่แพร่กระจาย และแจ้งเตือนทีมรักษาความปลอดภัยด้วยบริบททั้งหมดผ่านช่องทางต่างๆ เครื่องมือของคุณต้องบังคับใช้โปรโตคอลการตรวจสอบสิทธิ์แบบเรียลไทม์และปรับตัวให้เข้ากับภัยคุกคามที่เกิดขึ้น 

การสร้างรากฐานความปลอดภัยของคุณ 

เมื่อคุณพิจารณานำ SSF และ CAEP มาใช้ในสภาพแวดล้อมของคุณ ความสำเร็จของกลยุทธ์การรวมระบบความปลอดภัยของคุณขึ้นอยู่กับความสามารถพื้นฐานของเครื่องมือของคุณ องค์กรส่วนใหญ่ให้ความสำคัญกับด้านเทคนิคของการนำกรอบงานไปใช้ทันที ได้แก่ API รูปแบบข้อความ สถาปัตยกรรมการรวมระบบ แต่ต้องตอบคำถามสำคัญสองข้อก่อน: 

  1. สแต็กความปลอดภัยปัจจุบันของคุณมีสัญญาณที่จำเป็นทั้งหมดที่กรอบงานเหล่านี้ต้องการหรือไม่  
  1. เครื่องมือของคุณสามารถแปลการตรวจจับให้เป็นการตอบสนองอัตโนมัติที่มีความหมายได้หรือไม่ 

ปัจจุบันเครื่องมือด้านความปลอดภัยนั้นยอดเยี่ยมมากในการตรวจจับปัญหา แต่เป็นเพียงส่วนหนึ่งของเรื่องเท่านั้น หากต้องการให้กรอบงานอย่าง SSF/CAEP ทำงานได้ เครื่องมือของคุณต้องทำมากกว่าแค่ตรวจจับเท่านั้น เครื่องมือจะต้องแบ่งปันสิ่งที่พบและดำเนินการโดยอัตโนมัติ หากไม่มีความสามารถพื้นฐานเหล่านี้ แม้แต่แผนการรวมระบบขั้นสูงที่สุดก็ไม่สามารถมอบคุณค่าด้านความปลอดภัยที่แท้จริงได้ 

เมื่อการโจมตีครั้งต่อไปมาถึง –– และมันจะเกิดขึ้น –– เครื่องมือความปลอดภัยของคุณจะพร้อมในการส่งสัญญาณที่สำคัญและดำเนินการที่จำเป็นเพื่อหยุดยั้งสิ่งนั้นหรือไม่ นั่นคือคำถามที่คุณต้องตอบวันนี้ 

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต