Migliorare la risposta agli incidenti di cybersecurity con DomainTools: una guida completa

28/03/2024

Come citato nella Federal Government Best Bractices Guide, gli incidenti di sicurezza informatica rappresentano una minaccia persistente per le agenzie governative e i loro fornitori. Una risposta agli incidenti (IR) efficace è fondamentale per mitigare queste minacce, minimizzare i danni e garantire la continuità delle operazioni. L’Agenzia per la sicurezza informatica e dell’infrastruttura (CISA) ha delineato un playbook strutturato per la risposta agli incidenti per guidare le entità governative attraverso il complesso processo di gestione degli incidenti di sicurezza informatica. Esploreremo lo scopo e il framework del playbook per la risposta agli incidenti della CISA prima di approfondire casi d’uso reali in cui i dati di DomainTools si dimostrano preziosi. Inoltre, discuteremo su come integrare i dati di DomainTools con gli strumenti esistenti di sicurezza informatica per una strategia di risposta agli incidenti più robusta.

Comprendere il CISA’s Incident Response Playbook

Il playbook per la risposta agli incidenti della CISA ha lo scopo di fornire una guida completa per le agenzie governative e i loro fornitori nell’affrontare e mitigare efficacemente gli incidenti di sicurezza informatica. Il suo scopo principale è quello di fornire un approccio standardizzato e strutturato alla risposta agli incidenti, garantendo che le organizzazioni possano affrontare e riprendersi prontamente ed efficacemente dalle minacce informatiche.

Il playbook segue un framework ben definito che include diverse fasi della risposta agli incidenti, ognuna adattata a obiettivi specifici. Queste fasi sono:

1. Preparazione: Stabilire capacità di risposta agli incidenti, formare team, definire ruoli e sviluppare piani e procedure di risposta.
2. Identificazione: Rilevare e identificare tempestivamente potenziali incidenti di sicurezza attraverso il monitoraggio continuo e l’analisi degli Indicatori di Compromissione (IoC).
3. Contenimento: Limitare l’impatto e prevenire ulteriori danni isolando i sistemi interessati, bloccando attività dannose e interrompendo l’accesso degli attaccanti.
4. Eradicazione e Ripristino: Rimuovere le cause radicate degli incidenti e ripristinare i sistemi interessati alle normali operazioni.
5. Attività Post-Incidente: Documentare gli incidenti, condividere le lezioni apprese e migliorare la postura di sicurezza informatica in base alle conclusioni.
6. Coordinamento: Coordinarsi con la CISA e altre agenzie federali per garantire una risposta unificata alle minacce informatiche.

Seguendo il playbook per la risposta agli incidenti della CISA, i professionisti della sicurezza informatica governativa e i loro fornitori possono razionalizzare i loro sforzi di risposta agli incidenti, minimizzare l’impatto degli incidenti e rafforzare la loro postura di sicurezza informatica.

Come i dati di DomainTools potenziano la risposta agli incidenti

Ora, esploriamo come i dati di DomainTools e di Farsight migliorano la risposta agli incidenti affrontando i casi d’uso critici affrontati dai team di sicurezza informatica governativi:

Caso d’uso 1: Identificazione del vettore di attacco Iniziale

Domanda: Come ha ottenuto l’avversario l’accesso iniziale alla rete?

  • Valore aggiunto dei dati di DomainTools: Domain Profile di DomainTools fornisce dati sul registrante, sul server e sulla registrazione di un nome di dominio. Esaminando le informazioni di dominio correlate all’incidente, i professionisti della sicurezza informatica possono scoprire il vettore di attacco iniziale, come domini maliziosi o server compromessi.
  • Valore aggiunto di Farsight DNSDB: DNSDB può rivelare quali informazioni sono pubblicamente note sulla tua rete, imitando le ricognizioni che gli attori malevoli hanno eseguito contro i tuoi sistemi. DNSDB evidenzia anche sia il mapping dei domini e dei sottodomini a indirizzi IP che coinvolgono l’infrastruttura degli attaccanti.

Caso d’uso 2: Identificazione dell’attore minaccioso

Domanda: Chi è l’avversario dietro l’attacco?

  • Valore aggiunto dei dati di DomainTools Whois: DomainTools Whois Lookup e Whois History offrono accesso ai record storici di registrazione dei nomi di dominio e degli indirizzi IP. Analizzando questi dati, i risponditori agli incidenti possono svelare gli attori minacciosi e monitorare le loro attività nel tempo, aiutando gli sforzi di attribuzione.
  • Valore del Pivoting: DomainTools Iris Investigate consente ai risponditori di muoversi rapidamente attraverso l’infrastruttura correlata, dai dati Whois agli indirizzi IP ai certificati TLS/SSL e altro ancora, per individuare con precisione e tempestività l’infrastruttura dell’attaccante.

Caso d’uso 3: Rilevamento del comando e del controllo

Domanda: Come l’avversario sta mantenendo il comando e il controllo?

  • Valore aggiunto di Domain Risk Score: DomainTools Domain Risk Score fornisce punteggi di rischio basati sulla prossimità di un dominio con domini noti come dannosi. I risponditori agli incidenti possono utilizzare questi dati per identificare e bloccare i domini dannosi utilizzati per il comando e il controllo, interrompendo le operazioni dell’attaccante.
  • Valore aggiunto di Farsight DNSDB: DNSDB traccia i dati dei sottodomini e raccoglie tutti i possibili tipi di record DNS, consentendo di identificare e monitorare come gli avversari possano cercare di nascondere le loro attività utilizzando il DNS. La natura in tempo reale di DNSDB consente di seguire i cambiamenti che gli avversari apportano mentre li apportano.

Caso d’uso 4: Analisi del malware

Domanda: È coinvolto del malware e, in tal caso, di che tipo si tratta?

  • Valore aggiunto dei Dati di DomainTools: DomainTools Domain Search e Hosting History rivelano i domini associati a un incidente. Analizzando questi domini, i risponditori agli incidenti possono identificare potenziali punti di distribuzione del malware e tracciare la loro storia, aiutando nell’analisi del malware.
  • Valore aggiunto di Farsight DNSDB: Tracciando le interrogazioni DNS passivamente dalla nostra rete di sensori mondiale, possiamo tracciare quando i domini o i sottodomini hanno avuto un cambiamento nei modelli di accesso, un indicatore di quando è stata avviata e interrotta una campagna malware. Questo può fornire indicazioni sulla dimensione e l’ambito di un possibile attacco.

Caso d’uso 5: Conservazione delle prove

Domanda: Come possiamo conservare le prove per un uso legale?

  • Valore Aggiunto dei Dati di DomainTools: Il Whois Parsed di DomainTools fornisce risultati analizzati per i record Whois, facilitando la conservazione delle prove relative ai domini. I professionisti della sicurezza informatica possono utilizzare questi dati per assistere nelle attività correlate all’applicazione della legge e garantire l’integrità dei procedimenti legali.
  • Valore Aggiunto del rapporto sul dominio: Iris Investigate consente di esportare tutti gli IOC identificati per includerli nelle strategie di conservazione dei record esistenti. In particolare, DomainTools può generare un Domain Report, fornendo tutte le informazioni relative a un dominio in un formato consumabile, come un PDF, per l’inclusione nella conservazione dei record storici o per una specifica questione legale.

Caso d’uso 6: Arricchimento dell’intelligence sulle minacce

Domanda: Quali informazioni di intelligence sulle minacce possono migliorare la nostra risposta?

  • Valore Aggiunto dei Dati di DomainTools: I dati di DomainTools possono essere integrati con le piattaforme di intelligence sulle minacce, arricchendo i dati sugli incidenti con preziosi contesti. Questa integrazione migliora l’analisi delle minacce e informa le decisioni sulla risposta agli incidenti.
  • Valore Aggiunto dei Feed di DomainTools: DomainTools fornisce un notevole numero di feed di intelligence sulle minacce, dai nostri feed Whois ogni 5 minuti, ai feed del punteggio di rischio, ai feed DNS passivi in tempo reale. Questi feed consentono l’integrazione in una vasta gamma di flussi di lavoro e tattiche a diversi livelli.

Integrazione dei dati di DomainTools con tool di sicurezza informatica

L’integrazione dei dati di DomainTools con gli strumenti di sicurezza informatica esistenti sblocca una gamma di capacità e ne aumenta il valore.
Ecco alcune integrazioni chiave e i benefici che apportano:

Soluzioni SIEM: Incorporare i dati di DomainTools nei sistemi di Security Information and Event Management (SIEM) per arricchire i dati sugli eventi di sicurezza. Aggiungendo contesti correlati ai domini, i SIEM possono fornire avvisi più azionabili e migliorare la rilevazione delle minacce. Questa integrazione consente ai SIEM di non solo rilevare eventi di sicurezza, ma anche valutare il loro impatto sull’organizzazione. Gli analisti possono prioritizzare la loro risposta in base al rischio associato ai domini e agli IP coinvolti negli incidenti di sicurezza.

Piattaforme di intelligence sulle minacce: Integrare i dati di DomainTools con piattaforme di intelligence sulle minacce per arricchire i dati sugli incidenti con informazioni storiche sui domini e sugli IP. Questo arricchimento aiuta gli analisti a identificare schemi e associazioni, portando a valutazioni delle minacce più informate. Comprendendo l’impatto delle minacce associate a specifici domini, le organizzazioni possono prendere decisioni più strategiche nei loro sforzi di risposta agli incidenti.

Soluzioni di rilevamento e risposta agli endpoint (EDR): Sfruttare i dati di DomainTools all’interno delle soluzioni EDR per rilevare e rispondere alle minacce che coinvolgono domini o IP dannosi. Identificando le connessioni a domini noti come dannosi, le soluzioni EDR possono bloccare proattivamente le attività dannose. Questo non solo previene potenziali danni, ma riduce anche l’impatto delle minacce sugli endpoint e sulla rete più ampia.

Strumenti di sicurezza di rete: Migliorare gli strumenti di sicurezza di rete con i dati di DomainTools per bloccare domini e indirizzi IP dannosi al perimetro. Questa integrazione garantisce che ai domini dannosi sia automaticamente impedito di accedere alla rete. Riducendo l’impatto del traffico dannoso a livello di rete, le organizzazioni possono migliorare significativamente la loro postura complessiva di sicurezza.

Piattaforme Security Orchestration, Automation, and Response (SOAR): Questa integrazione arricchisce gli allarmi di sicurezza in arrivo con informazioni contestuali, migliorando la comprensione dell’impatto e della rilevanza dell’incidente. Le piattaforme SOAR possono prendere decisioni più informate e automatizzate basate sui dati di DomainTools, consentendo una gestione più rapida e precisa degli incidenti. I playbook di risposta traggono vantaggio dall’intelligenza in tempo reale sull’infrastruttura dannosa, adattandosi dinamicamente alla gravità delle minacce. Inoltre, i dati storici sui domini e gli IP aiutano nell’analisi retrospettiva, aiutando le organizzazioni a identificare schemi e minacce ricorrenti. I dati di DomainTools consentono anche la correlazione degli allarmi tra gli strumenti di sicurezza, garantendo che gli incidenti correlati siano prioritizzati e raggruppati per una risoluzione efficiente.

Integrando i dati di DomainTools in questi strumenti, i team di sicurezza informatica governativi possono notevolmente rafforzare le loro capacità di risposta agli incidenti. Ottengono accesso a informazioni storiche sui domini e gli IP, contesto sulle minacce e informazioni azionabili che li aiutano a navigare efficacemente le complessità delle moderne minacce informatiche. Questo approccio proattivo consente alle organizzazioni di rispondere prontamente e decisamente agli incidenti, riducendo il loro impatto e rafforzando la postura complessiva di sicurezza.

Conclusioni

I dati di DomainTools svolgono un ruolo fondamentale nell’arricchire gli sforzi di risposta agli incidenti delle agenzie governative e dei loro fornitori. Che si tratti di identificare gli attori delle minacce, rilevare l’infrastruttura di comando e controllo o conservare prove critiche, DomainTools offre preziosi insights che permettono ai professionisti della sicurezza informatica di affrontare efficacemente le complessità delle moderne minacce informatiche. Integrando i dati di DomainTools nei loro set di strumenti di sicurezza informatica, le organizzazioni possono migliorare la loro resilienza e prontezza di fronte alle sfide informatiche in continua evoluzione.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...