เมื่อมีการก่ออาชญากรรม สิ่งแรกที่ตำรวจทำคือรวบรวมหลักฐานจากกล้องวงจรปิดที่อยู่ใกล้เคียง และทุกวันนี้ กล้องมีอยู่ทุกที่ นั่นเป็นรูปแบบที่หน่วยงานรัฐบาลกลางต้องการนำไปใช้กับความปลอดภัยในโลกไซเบอร์ การตรวจสอบระบบอย่างต่อเนื่องเพื่อจับผู้กระทำผิดเป็นพื้นฐานสำหรับ CDM – การวินิจฉัยและการบรรเทาผลกระทบอย่างต่อเนื่องGarrett Lee ผู้อำนวยการ Strategic Federal Programs & Partnerships ของ VMware Carbon Black กล่าวว่า CDM เป็นเรื่องของการทำงานร่วมกันระหว่างการมีการป้องกันควบคู่อย่างใกล้ชิดและกลยุทธ์การมองเห็น การเห็นกิจกรรมทั้งหมดที่เกิดขึ้นบนเอ็นด์พอยต์
บนเครือข่าย เพื่อดูว่าคุณเป็นอย่างไร ถูกโจมตี
จากนั้นหันไปสร้างการป้องกันที่เหมาะสมซึ่งปรับให้เหมาะกับการโจมตีเหล่านั้น
“ถ้าคุณนึกถึง CDM มันคือการปรับปรุงไซเบอร์ให้ทันสมัยสำหรับรัฐบาลพลเรือน ในขณะเดียวกันก็สร้างประเภทของข้อมูลทางไกลทางไซเบอร์ที่ทำให้ Department of Homeland Security และผู้นำรัฐบาลกลางของเราสามารถเข้าใจโดยรวมว่าภาพรวมช่องโหว่ของเรามีลักษณะอย่างไรทั่วทั้ง . โดเมน gov แต่ยังสามารถดำเนินการอย่างเด็ดขาดเพื่อเสริมแนวป้องกันของเราต่อภัยคุกคามตามที่ปรากฏ — มันเกี่ยวกับการป้องกันและการตรวจจับอย่างรวดเร็วที่ทำงานร่วมกัน” Lee กล่าว
CB Protection ของ Carbon Black บรรลุผลสำเร็จในมุมมองระดับโลกผ่าน Software Asset Management หรือ SWAM ซึ่งเป็นหนึ่งในองค์ประกอบพื้นฐานของ CDM SWAM จะระบุสินทรัพย์ซอฟต์แวร์ทั้งหมดบนเอ็นด์พอยท์โดยอัตโนมัติ: ไฟล์ทั้งหมด แอปพลิเคชัน ใบรับรอง อุปกรณ์และคอมพิวเตอร์ในสภาพแวดล้อมเอ็นด์พอยท์ ตลอดจนข้อมูลแพลตฟอร์มและซอฟต์แวร์ โดยจะจัดประเภทความเสี่ยงต่อซอฟต์แวร์โดยทำความเข้าใจว่าเวอร์ชันใดที่กำลังเรียกใช้ เพื่ออนุมัติและแบนด้วยตนเอง
หรือโดยอัตโนมัติ ที่เรียกว่ารายการที่อนุญาต
“บางคนอาจคิดว่าพวกเขาจำเป็นต้องออกแบบรายการซอฟต์แวร์ที่ได้รับอนุมัติก่อนที่จะปรับใช้กลยุทธ์การอนุญาตพิเศษ” Lee อธิบาย “นี่ไม่ใช่กรณีที่มีโซลูชันการควบคุมแอปพลิเคชันที่โตพอๆ กับโซลูชันของเรา” แนวทางที่ดีกว่าคือการติดตั้งซอฟต์แวร์ อนุญาตให้ใช้สต็อกของสภาพแวดล้อม และใช้กลไกการกำกับดูแลความน่าเชื่อถือและระบบอัตโนมัติที่แพลตฟอร์มนำเสนอเพื่อสร้างโบรกเกอร์ที่ไว้วางใจตามกฎเพื่อเพิ่มระดับการบังคับใช้”
ในขณะที่โซลูชันการควบคุมแอปพลิเคชันของ Carbon Black ให้การมองเห็นสินทรัพย์ซอฟต์แวร์และควบคุมและบังคับใช้สิ่งที่ได้รับอนุญาตให้ทำงานบนเอ็นด์พอยต์ ลดขนาดสิ่งที่เรียกว่าพื้นผิวการโจมตี แต่ก็ยังมีกิจกรรมของเอ็นด์พอยต์อยู่ นี่คือที่มาของซอฟต์แวร์ตรวจจับและตอบสนองปลายทาง CB Response ช่วยให้หน่วยงานต่างๆ สามารถมองเห็นข้อมูลที่จำเป็นในการดำเนินการตามล่าภัยคุกคาม ซึ่งเป็นความสามารถที่หน่วยงานรัฐบาลส่วนใหญ่ยังขาดอยู่ในปัจจุบัน และแม้แต่องค์ประกอบที่ขาดองค์ประกอบหลักประการหนึ่งของ CD Response: แนวทางข้อมูลที่ไม่มีการกรอง
“มันคือทั้งหมดที่เกี่ยวกับข้อมูล หากคุณกำลังรวบรวมหลักฐานในที่เกิดเหตุ และคุณมีความสามารถในการรวบรวมหลักฐานทั้งหมด ก็จะไม่มีอะไรพลาด ในทำนองเดียวกัน เราใช้มุมมองของ ‘รวบรวมหลักฐานทั้งหมดที่เราจำเป็นต้องสามารถระบุได้อย่างแน่ชัดว่าเกิดอะไรขึ้นในสภาพแวดล้อมด้านไอที’ และไม่ปล่อยไว้บนเอ็นด์พอยต์ที่อาจมีช่องโหว่ แต่ให้ย้ายไปยังเซิร์ฟเวอร์ออฟไลน์” ลีกล่าวว่า “เรื่องราวชีวิตของทุกระบบถูกเขียนไปยังระบบส่วนกลางเพื่อให้นักล่าภัยคุกคามสามารถตรวจสอบชุดข้อมูลที่กำหนดขอบเขต สาเหตุ และผลกระทบของการถูกโจมตี ดำเนินการแก้ไขการตอบสนองตามเวลาจริง เพื่อวิเคราะห์ความเสียหายใดๆ ที่อยู่ระหว่างดำเนินการ เพื่อให้คุณไม่ต้องสร้างอิมเมจระบบใหม่และนำกลับคืนสู่สภาพแวดล้อมด้วยช่องโหว่แบบเดียวกับเมื่อวานที่ทำให้คุณถูกบุกรุกได้”
ซึ่งช่วยให้ผู้เชี่ยวชาญด้านไซเบอร์สามารถผ่าตัดเอาข้อมูลออก แก้ปัญหาและแก้ไขปัญหาหลังจากแยกข้อมูลออกจากส่วนที่เหลือของสภาพแวดล้อม การแก้ไขประเภทนั้นสามารถทำได้โดยตรงจากคอนโซล โดยไม่จำเป็นต้องรีอิมเมจระบบ แต่ที่สำคัญกว่านั้น จะช่วยให้คุณค้นหาต้นตอ ขอบเขต และผลกระทบของการโจมตี และเปลี่ยนการป้องกันเพื่อกระชับการป้องกันต่อภัยคุกคาม
คาร์บอนแบล็คนั้นเกี่ยวกับการเพิ่มประสิทธิภาพของผู้ปฏิบัติงานทางไซเบอร์ให้สูงสุด เนื่องจากเป็นทรัพยากรที่หายาก นั่นหมายถึงการสร้างการบังคับใช้ตามนโยบายเกี่ยวกับสิ่งที่สามารถเรียกใช้ได้ และทำแบบละเอียดจนถึงจุดที่ตัดสินใจว่าคุณต้องการควบคุมการใช้อุปกรณ์ USB อย่างไร ซึ่งช่วยลดภาระในสภาพแวดล้อมการรักษาความปลอดภัยโดยการลดพื้นที่การโจมตี เปลี่ยนการตัดสินใจเพียงครั้งเดียวให้เป็นนโยบายทั่วทั้งระบบ นักล่าภัยคุกคามไม่ต้องการทำงานซ้ำซาก ระบบอัตโนมัติเป็นตัวคูณแรง
Lee กล่าวว่าผู้ปฏิบัติงานด้านไซเบอร์บางคนตัวสั่นเมื่อคุณพูดถึงรายการที่อนุญาตพิเศษ เนื่องจากพวกเขาเคยมีประสบการณ์ที่ไม่ดีกับวิธีแก้ปัญหาที่ไม่เป็นผู้ใหญ่ในอดีต ความสามารถในการปรับขนาด การปรับแต่งด้วยตนเอง และความยุ่งยากในการสร้างกฎคือปัญหาที่พบบ่อย แต่คาร์บอนแบล็คพยายามทำให้รายการที่อนุญาตเป็นมิตรกับผู้ใช้มากขึ้น
