Peneliti ancaman kami di Lares menghadapi berbagai kelemahan dan kerentanan keamanan saat kami melakukan latihan Tim Ungu atas nama klien kami. Seiring waktu, kesalahan sendiri yang sama tampaknya muncul begitu sering sehingga kami memperingatkan tim keamanan untuk mengembangkan praktik standar untuk mempertahankannya.
Unit Kolaborasi Lares Adversarial membantu klien dengan keterlibatan kolaborasi defensif dan penilaian Tim Ungu, yang menggabungkan teknik ofensif dan defensif untuk memperkuat perlindungan keamanan. Tim Merah meniru penyerang eksternal atau orang dalam, sedangkan Tim Biru berfungsi sebagai pembela keamanan internal. Tim Ungu membantu kedua belah pihak dengan menyelaraskan taktik bertahan Tim Biru dengan ancaman yang dilakukan oleh Tim Merah.
Kami baru-baru ini merilis penelitian baru yang menyoroti 5 Temuan Tim Ungu Teratas yang kami temui selama ratusan keterlibatan klien dalam satu tahun terakhir. Kesalahan yang paling sering dihindari termasuk pencatatan peristiwa yang tidak memadai atau tidak perlu; kurangnya pengetahuan keamanan ofensif; hubungan kodependen di Pusat Operasi Keamanan (SOC); ketergantungan yang tidak sehat pada alat; dan membuang uang baik setelah buruk.
Untuk mempertahankan organisasi mereka dengan baik, profesional keamanan perlu mengetahui ancaman terbaru dan cara menanggapinya. Selain itu, para pembela HAM harus menghindari ketergantungan pada peralatan dan sebagai gantinya fokus pada pengembangan keterampilan penting yang tidak dapat atau tidak boleh dialihdayakan.
Top 5 Takeaways dari Lares Purple Teams Research
Pencatatan Peristiwa yang Tidak Memadai atau Tidak Diperlukan: Peristiwa adalah bagian penting dari postur keamanan organisasi mana pun. Banyak organisasi harus lebih memperhatikan peristiwa log kritis, atau mereka mengumpulkan terlalu banyak peristiwa yang tidak perlu yang memenuhi penyimpanan dan mengaburkan data penting. Dalam kecerobohan mereka, mereka mungkin mengabaikan tanda-tanda penting dari aktivitas berbahaya. Organisasi harus hati-hati memilih peristiwa yang mereka kumpulkan untuk menghindari masalah ini dan memastikan bahwa semua titik data yang dikumpulkan relevan dengan kebutuhan keamanan mereka. Dengan demikian, mereka dapat membangun sistem deteksi dan respons yang efektif serta meningkatkan postur keamanan mereka secara keseluruhan.
Kurangnya Pengetahuan Keamanan Ofensif: Memantau lingkungan organisasi untuk potensi ancaman membutuhkan lebih dari sekadar pemahaman dasar tentang taktik, teknik, dan prosedur permusuhan (TTP). Penting untuk mengidentifikasi kapan dan bagaimana TTP ini digunakan untuk mengambil tindakan yang tepat untuk membela organisasi. Misalnya, pengawasan keamanan mungkin memerlukan pemantauan komunikasi internal untuk mengidentifikasi indikator potensi aktivitas berbahaya. Dengan memiliki pemahaman yang kuat tentang lingkungan organisasi dan TTP musuh, individu yang bertugas memantau dapat mendeteksi dan merespons ancaman dengan lebih efektif.
Hubungan Kodependen dalam SOC: Banyak pusat operasi keamanan terkelola (SOC) memperkenalkan masalah baru untuk tim pertahanan daripada menyelesaikannya. Hal ini sering terjadi karena SOC terkelola berjuang dengan penundaan peringatan yang berlebihan, menekan kejadian kritis, dan mereka tidak dapat memperkenalkan telemetri yang penting.
Penundaan peringatan terjadi ketika SOC yang dikelola gagal mengonfigurasi alat dan teknologi dengan benar untuk mendeteksi dan merespons insiden keamanan. Acara yang dapat digunakan untuk menggagalkan serangan tertunda atau tidak pernah terlihat. Selain itu, SOC yang dikelola sering kali menekan kejadian kritis karena tekanan dari manajemen atas atau pelanggan eksternal. Akhirnya, SOC yang dikelola sering gagal memperkenalkan telemetri yang penting untuk insiden tersebut. Ini karena mereka didorong oleh metrik yang tidak selalu mencerminkan dampak insiden keamanan di dunia nyata. Akibatnya, banyak SOC yang dikelola gagal memberikan wawasan dan data yang diperlukan untuk memahami dan mengatasi akar penyebab ancaman keamanan.
Ketergantungan yang Tidak Sehat pada Alat: Masalah lain melibatkan pembela HAM yang menjadi terlalu bergantung pada solusi Endpoint Detection and Response (EDR) dan Extended Detection and Response (XDR), berharap mereka menemukan semua aktor jahat. Pola pikir ini dapat menyebabkan kesalahan positif dan atribusi yang salah. EDR dan XDR harus dilihat sebagai bagian dari solusi keamanan yang lebih luas, bukan satu-satunya titik pemantauan. Hanya dengan mengambil pendekatan keamanan yang lebih holistik, organisasi dapat tetap berada di depan lanskap ancaman.
Melemparkan Uang Baik Setelah Buruk: Juga umum bagi organisasi untuk mengalihdayakan pengetahuan mereka dalam hal tindakan defensif. Meskipun ini mungkin tampak seperti solusi yang paling mudah, ini lebih merugikan daripada menguntungkan dengan mencegah karyawan mempelajari keterampilan penting yang mereka butuhkan untuk menjadi efektif dan menghabiskan lebih banyak uang perusahaan dari waktu ke waktu. Alih-alih mengalihdayakan semua pengetahuan keamanan, perusahaan harus berinvestasi pada karyawan mereka dan membiarkan mereka belajar dan tumbuh. Perusahaan juga harus menerapkan tindakan detektif dan perlindungan yang secara langsung memetakan metode dan mekanisme permusuhan. Pendekatan ini memungkinkan karyawan untuk memperoleh keterampilan yang mereka butuhkan untuk berhasil sambil menghemat lebih banyak uang organisasi dalam jangka panjang.
Dalam lingkungan keamanan siber yang bergerak cepat saat ini, dibutuhkan lebih dari sekadar memahami taktik musuh. Tim keamanan harus tetap memperhatikan potensi masalah yang dapat muncul dari tindakan defensif mereka sendiri.
Kredit Gambar: Wayne Williams
Andrew Hay adalah Chief Operating Officer, Lares.
