การแจ้งเตือนของ CISA เกี่ยวกับกิจกรรมของทีมแดงเน้นย้ำถึงความจำเป็นในการป้องกันเชิงลึก
กรกฎาคม 12, 2024 • เซซาร์ ดาเนียล บาร์เรโต
The Cybersecurity and Infrastructure Security Agency published a very detailed advisory entitled “CISA Red Team’s Operations Against a Federal Civilian Executive Branch Organization Highlights the Need for Defense-in-Depth.” The advisory was based on an in-depth assessment performed in 2023, including TTPs employed by the red team. These findings and recommendations will help executives, leaders, and network defenders enhance cybersecurity.
ผลการค้นพบที่สำคัญและบทเรียนที่ได้รับ
ตามคำแนะนำ มีข้อมูลเชิงลึกและบทเรียนสำคัญจากการประเมินที่ได้เรียนรู้จากการนำกลยุทธ์การป้องกันเชิงลึกที่มีประสิทธิภาพมาใช้ กลยุทธ์และเทคนิคสำคัญที่ทีมแดงใช้ ได้แก่:
- การจำลองเวกเตอร์คุกคามขั้นสูงอย่างต่อเนื่องที่มุ่งเป้าไปที่การทดสอบความยืดหยุ่นของเครือข่าย
- การใช้ประโยชน์จากการแบ่งส่วนเครือข่ายที่อ่อนแอและ
- Sophisticated spear-phishing for initial access.
ผลลัพธ์เหล่านี้เน้นย้ำถึงความสามารถขององค์กรในการมีมาตรการรักษาความปลอดภัยแบบหลายชั้นเพื่อรับมือกับภัยคุกคามดังกล่าวได้อย่างมีประสิทธิภาพ
คำแนะนำในการปรับปรุงความปลอดภัยทางไซเบอร์
CISA เสนอคำแนะนำต่างๆ ผ่านคำแนะนำของตน เพื่อปรับปรุงความสามารถในการรักษาความปลอดภัยทางไซเบอร์ การตรวจจับ การตอบสนอง และการค้นหา ซึ่งรวมถึง:
- ดำเนินการป้องกันเชิงลึก: A concept where multiple layers of security controls should be implemented across an IT environment for protection against potential cyber threats and attacks.
- ใช้การแบ่งส่วนเครือข่ายที่แข็งแกร่ง: การแบ่งส่วนเครือข่ายหมายถึงการแบ่งเครือข่ายออกเป็นส่วนต่างๆ เพื่อทำให้การโจมตีแพร่กระจายได้ยาก และจึงควบคุมได้ง่ายในกรณีที่เกิดการละเมิด
- สร้างฐานข้อมูลพื้นฐาน: Implement baselines of network traffic, application execution, and account authentication to identify anomalies to identify anomalies that indicate intrusions.
สิ่งเหล่านี้จะช่วยให้องค์กรสามารถต้านทานการโจมตีทางไซเบอร์ขั้นสูงและปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมของตนได้
ความสำคัญของเป้าหมายการดำเนินงานด้านความปลอดภัยทางไซเบอร์ข้ามภาคส่วนของ CISA
ตามเอกสารนี้ ทรัพยากรสำหรับการระบุภัยคุกคาม กลยุทธ์ เทคนิค และขั้นตอนทั่วไปและมีผลกระทบต่อความปลอดภัยทางไซเบอร์สามารถพบได้ใน Cross Sector Cybersecurity Performance Goals ของ CISA เป้าหมายเหล่านี้มีไว้เพื่อดำเนินการดังต่อไปนี้:
- จัดทำชุดแนวทางปฏิบัติรักษาความปลอดภัยทางไซเบอร์พื้นฐานที่สามารถนำไปประยุกต์ใช้กับโครงสร้างพื้นฐานที่สำคัญได้
- จัดทำเกณฑ์มาตรฐานสำหรับการวัดและปรับปรุงความพร้อมของความปลอดภัยทางไซเบอร์
- รวมแนวทางปฏิบัติที่แนะนำสำหรับทั้งเจ้าของเทคโนโลยีสารสนเทศและเทคโนโลยีการปฏิบัติงาน
- เอจัดการความเสี่ยงด้านความมั่นคงของชาติให้เกินขอบเขตความเสี่ยงของแต่ละหน่วยงาน
CPG ได้รับการเลือกมาเพื่อช่วยให้องค์กรขนาดเล็กและขนาดกลางลงทุนในการดำเนินการด้านความปลอดภัยทางไซเบอร์ที่ผลักดันผลลัพธ์ด้านความปลอดภัยที่มีผลกระทบสูง ซึ่งได้รับการปรึกษาหารือเชิงลึกจากผู้เชี่ยวชาญในอุตสาหกรรมและเจ้าหน้าที่ของรัฐ
แนวทางกรอบการทำงานด้านความปลอดภัยทางไซเบอร์ของ NIST
CPG ของ CISA สอดคล้องกับฟังก์ชัน CSF ของ NIST ฟังก์ชันเหล่านี้ได้แก่:
- การปกครอง: การกำหนด การสื่อสาร และการติดตามความคาดหวังและกลยุทธ์การจัดการความเสี่ยงขององค์กร
- แยกแยะ: ความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในปัจจุบันต่อองค์กร
- ปกป้อง: การนำมาตรการการป้องกันมาใช้เพื่อจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ต่อองค์กร
- ตรวจจับ: Finding and analyzing possible cyber attacks and compromises.
- ตอบกลับ: การดำเนินการเมื่อพบเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
- ฟื้นตัว: กู้คืนระบบ สินทรัพย์ และการดำเนินงานที่ได้รับผลกระทบจากเหตุการณ์ทางความปลอดภัยทางไซเบอร์
CISA is working on overhauling its CPGs to make them compliant with version 2.0 of NIST’s CSF so that they remain relevant and helpful in response to the dynamic, ever-evolving Cyber Security Scene.
บทสรุป
คำแนะนำล่าสุดของ CISA จะช่วยเตือนให้มีการจัดทำกลยุทธ์เชิงป้องกันเชิงลึกและใช้แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี คำแนะนำและ CPG จะช่วยเสริมสร้างจุดยืนด้านความปลอดภัยทางไซเบอร์ให้แข็งแกร่งขึ้นเพื่อรับมือกับภัยคุกคามที่เกิดขึ้นใหม่
หากต้องการข้อมูลเพิ่มเติม กรุณาเยี่ยมชมเว็บเพจของ CISA: ปลอดภัยด้วยการออกแบบ เพื่อการให้คำแนะนำและทรัพยากรอื่นๆ ที่ครบถ้วน
เซซาร์ ดาเนียล บาร์เรโต
César Daniel Barreto เป็นนักเขียนและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียง ซึ่งเป็นที่รู้จักจากความรู้เชิงลึกและความสามารถในการทำให้หัวข้อความปลอดภัยทางไซเบอร์ที่ซับซ้อนนั้นง่ายขึ้น ด้วยประสบการณ์อันยาวนานด้านความปลอดภัยเครือข่ายและการปกป้องข้อมูล เขามักจะเขียนบทความเชิงลึกและการวิเคราะห์เกี่ยวกับแนวโน้มด้านความปลอดภัยทางไซเบอร์ล่าสุดเพื่อให้ความรู้แก่ทั้งผู้เชี่ยวชาญและสาธารณชน