Рекомендуемые меры безопасности и предосторожности при обнаружении угроз
Эти рекомендации следует оценивать с точки зрения света, шума и мусора, которыми может сопровождаться нападение.
1. Определите возможности своей организации по обнаружению, смоделировав как шумное и быстрое проникновение, так и медленное и тихое. Задокументируйте, какие журналы с какой наблюдаемой деятельностью связаны и где у вас могут быть сенсорные мертвые зоны. (AU-2. События аудита; CA-8. Тестирование на проникновение; SC-42. Возможности сенсора и данные.).
2. Сопоставляйте журналы инцидентов, предупреждения и наблюдаемые данные с задокументированными действиями при угрозах, чтобы лучше информировать своих сотрудников и проверить, понимают ли они, как угрозы будут «звучать» в сети. (IR-4. Обработка инцидентов | (4) Корреляция информации.).
3. Настройте свои песочницы и детонационные камеры, чтобы искать признаки злоумышленника. (SC-44. Детонационные камеры.).
4. Используйте сигнатурные методы обнаружения скрытых действий, избегающих идентификации по сигнатурам. (SI-3. Защита от вредоносного кода | (7) Обнаружение без сигнатур.).
5. Разверните мониторинг информационной системы для обнаружения скрытой активности. Избегайте размещения сверхчувствительных датчиков в местах с высокой активностью. (SI-4. Мониторинг информационной системы.).
