Simulazione di violazione e attacco: Unire i rossi e i blu

Il 16 aprile 2020 abbiamo ospitato il nostro webinar "Breach and Attack Simulation", in cui il nostro CTO Ralph Moonen e il Responsabile dello Sviluppo Prodotti Robert Meppelink hanno parlato di Breach and Attack Simulation. I partecipanti hanno posto alcune buone domande, che abbiamo riassunto di seguito in un QandA. Se avesse ancora delle domande, la invitiamo a contattare cybersecurity@bureauveritas.com.

È curioso di conoscere i nostri altri Webinar? Visiti: https: //cybersecurity.bureauveritas.com/webinars

QandA

Grazie per tutte le sue domande durante il webinar, ne abbiamo ricevute parecchie! Il nostro CTO Ralph Moonen ha risposto a tutte le domande qui sotto.

Se ha ancora delle domande, la preghiamo di contattare cybersecurity@bureauveritas.com.

Come si definiscono i casi d'uso in un SOC/SIEM? Il framework MITRE può essere utilizzato a tale scopo?

Di solito si definiscono con delle regole, ma dipende dall'effettivo SIEM utilizzato. Ad esempio, può definire un caso d'uso come 'Voglio un avviso quando qualcuno accede alla nostra VPN da un indirizzo IP cinese'. Può definire delle regole per questo, e sì, può collegarlo ai TTP del framework Mitre ATTandCK. Alcuni SIEM supportano questo aspetto più di altri, ma è sicuramente possibile.

Come funzionano queste simulazioni in un ambiente che non può essere isolato dalla rete né fermato?

Questo approccio è destinato ad essere eseguito in un ambiente di produzione.

Può dirmi qualcosa sulla durata dei test SOC/SIEM? Di che tipo di investimento stiamo parlando in media?

Da 5 a 20 giorni di lavoro, a seconda del numero di casi d'uso.

I casi d'uso dello studio vengono testati durante l'implementazione?

Sì, lo sono.

Il controllo di un SIEM fa parte dell'Audit IT standard?

Non a questo livello di dettaglio.

Come valuterebbe la "prontezza di risposta" di un cliente. Valutate il design della loro governance, i processi, le tecniche, i piani, le risorse ecc. per reagire agli incidenti?

Sarebbe necessario un approccio di Red Teaming per valutare questo aspetto, piuttosto che l'approccio descritto. E per un 'readiness assessment' sarebbero necessarie anche alcune tecniche di audit più classiche per valutare la governance,

Il suo messaggio principale sembra essere: se non si testa bene il sistema SIEM, questo fornisce una falsa sensazione di sicurezza. Giusto?

Questo è corretto. Per lo stesso motivo eseguiamo esercitazioni antincendio.

Abbiamo la nostra soluzione SOC/SIEM in outsourcing, come faccio a sapere che funziona correttamente come promesso?

Non lo sa. Ma può verificarlo utilizzando tecniche come quelle descritte in questo webinar.

Gli attacchi variano a seconda del sistema o si limitano a simulare attacchi uguali per ogni sistema?

Gli attacchi variano a seconda del sistema, così come i messaggi di log e gli eventi. Quindi è necessario disporre di informazioni dettagliate sui sistemi esatti per poter emulare accuratamente gli attacchi.

E se il responsabile della sicurezza volesse testare la risposta del suo Blue Team, come lo gestirà dal momento che il Blue Team non può essere allertato?

In questo caso, proporrei di eseguire un'esercitazione di Red Teaming, poiché si concentra maggiormente sulla risposta. L'approccio spiegato in questo webinar mira a testare le capacità investigative più che la risposta.

Se ha altre domande, ci contatti all'indirizzo cybersecurity@bureauveritas.com.