НАБ сменил внутреннюю платформу он использует для организации своего отклика на обнаружение фишинг-сайты, ориентированные на клиентов банка.

Старший специалист по кибер-безопасности Джон Мерфи описал его как одного из первых “больших побед” от развертывания НАБ автоматизации Фантом безопасности чмок и оркестровки (парить) программного обеспечения.

Обнаружения подозрительных сайтах – из отчетов клиенту по SMS или по электронной почте, и “ряд других” путей, которые НАБ отказался обсуждать – кормят в набор Фантом playbooks, что обрабатывать различные аспекты реагирования на инциденты.

В ответ на инцидент, сценарии (и модули) представляют собой списки сортировки, расследования и меры по исправлению принимать после инцидента обнаружено.

Они могут быть автоматизированы при помощи Soar люксы, которые часто приходят с фишинг сценарии из-из-коробки, как в случае с Фантомом.

В случае НАБ, сказал Мерфи банк через “15, может, 20 сценарии” в Фантом для устранения угроз.

“Эти [угрозы] несколько сайтов, которые настраиваются с нашим брендом намереваясь украсть деньги клиентов в принципе, поэтому наша задача-обнаружить эти места как можно быстрее и вам сразу же вниз,” сказал Мерфи это концентрация и итог .conf19 в США в прошлом месяце.

Сценарии ручки такие шаги, как “подтверждение и отказ …, что аналитики могут использовать, чтобы обеспечить обратную связь [клиенту], может ли оповещение фишинг или нет”, а также результаты первоначальных проверок должен выяснить, фишинг-кампания новых или дополнительных доказательств, один уже под следствием.

Дополнительная сценарии могут быть использованы для “создания скриншота на том или ином участке” или получить доступ к информации whois сайта, которая могла бы идентифицировать хозяина и владельца сайта.

Мерфи является примером “книги” – или экран, который отображается аналитику безопасности.

“В верхней части, мы имеем приперся информация, что обнаруженных URL-адрес; если она пришла по электронной почте в него входят предметы, которые мы видели, а также нашу связь с Jira случае [, используемых для сбора доказательств”, – сказал он.

“Внизу, там все появились артефакты из разных обнаружений. И потому что у нас есть обнаруженные на различных стадиях жизненного цикла фишинг, мы видим много URL-адресов, которые сгруппированы вместе в этом случае.

“Затем, с левой стороны, у нас есть ряд playbooks, что аналитик может пнуть, в зависимости от их анализа предполагаемых URL-адреса.”

Аналитик может прыгать туда и обратно между Jira и Фантом легко расследовать URL и документировать их результаты.

Дизайн книги

Количество сценарии НАБ использует в своем ответе на потенциально опасных обнаружение сайте-это скорее побочный продукт его исследований от Фантома в производство в прошлом году.

“Если вы новичок в здание playbooks и вы не знаете с чего начать – как нам примерно год-полтора назад – вот некоторые моменты, которые мы надеемся получить вашу голову в правильном направлении”, ведущий специалист по компьютерной безопасности Крис Hanlen сказал.

“Если вы пытаетесь выстроить полную сквозную сценарии, вы могли бы увязнуть в деталях и вы можете не увидеть леса за деревьями, так сказать.

“Поэтому, наше предложение является использованием книг или ведения дел, в старом языке. Разделение основных функций и основных задач своей тактики на управляемые мало составляющих, это позволит вам более быстро развить свои playbooks и надеюсь реализовать возврат на инвестиции немного быстрее”.

Сказал Hanlen недостатком “монолитных, громоздких сценарии” что они могут “занять 20 минут” – или, предположительно, более – бегать и процесс.

“Попробуйте и думать о строительстве атомной сценарии – небольшие сценарии с определенной функцией, так что их обработают в течение двух-трех секунд – и готово”, – посоветовал он.

“Вы тогда принимаете родительские сценарии, и вам сшить вместе, или ты всех называешь различных атомарных и суб-сценарии, и таким образом, вы будете мы надеемся получить полного сквозного плана обработки для какой сценарий использования вы разрабатываете.”

Автоматизация соц ОПы

Hanlen сказал, что более широкое намерение для принятия Фантом-автоматизировать некоторые операции-центр Службы безопасности банка (деятельности соц), хотя он отметил, речь не шла о замене персонала.

“В конце дня, мы пытаемся прийти к соглашению с все различные события, которые влияют на нас”, – сказал он.

“У нас есть много систем, которые включаются в Splunk и генерирует много предупреждений, что наш SoC имеет дело.

“Так что, по сути, речь идет о снятии всего этого шума так, что наши аналитики могут работать на больших билет пунктов.”

Hanlen сказал, что “все уведомления”, сформированный из продукции безопасности предприятия чмок это проходит через Фантом.

“Это изначально попадает на лейбл чмок – как ни странно – и это, где все универсальные обработки событий выполняется.

“Затем мы выполняем переключиться ярлык чтобы переключиться на один из 13 нижестоящих категорий ответов, а вот где оповещения-специальная обработка осуществляется на мероприятие.”

В банке отметили в слайдов, что он видел “средних” в “800,000+ безопасности событий, 2000+ оповещения безопасности исследованы, 600,000+ вредоносных/спам заблокировали, и 1000+ фишинг-сайтов”, хотя не уточнил, в какой период времени это происходит

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here