EDR-07 · ประสบการณ์
ผมล็อกเอนด์พอยต์ให้แน่นหนา และปิดปัญหาที่พบได้จริง
ผมติดตั้งและปรับแต่ง Trellix ทั่วทั้งเครื่องในองค์กรของคุณ วางค่าพื้นฐานที่เสริมความแข็งแกร่งไว้อย่างมั่นคง และจัดการงานค้างเรื่องช่องโหว่จนกว่าปัญหาที่พบจะได้รับการแก้ไขและตรวจสอบยืนยัน รายงานสแกนที่ขึ้นรายการ 400 รายการนั้นใครก็ทำได้ แต่การปิดรายการเหล่านั้น พิสูจน์ว่ามันถูกปิดจริง และคงสภาพให้ปิดอยู่ต่อไป คืองานที่แท้จริง และนั่นคือส่วนที่ผมรับผิดชอบ
01 · สิ่งที่ผมทำ
งานจริงที่ลงมือทำ
- ติดตั้งและปรับแต่งการป้องกันเอนด์พอยต์ Trellix ทั้งบน Windows และ Linux โดยตั้งค่านโยบายให้เหมาะกับสภาพแวดล้อมของคุณ แทนที่จะใช้ค่าเริ่มต้นจากผู้ผลิต
- กำหนดค่าพื้นฐานที่เสริมความแข็งแกร่งให้เอนด์พอยต์และเซิร์ฟเวอร์ จากนั้นจัดทำเอกสารและบังคับใช้ เพื่อให้การเบี่ยงเบนของการตั้งค่ามองเห็นได้ชัด แทนที่จะเกิดขึ้นอย่างเงียบ ๆ
- คัดกรองผลสแกนช่องโหว่ตามความเป็นไปได้ในการถูกโจมตีจริงและระดับการเปิดเผย ไม่ใช่แค่คะแนน CVSS ดิบ เพื่อให้ทีมแก้ไขสิ่งที่สำคัญจริงก่อน
- แก้ไขปัญหาที่พบด้วยวิธีที่ผ่านการทดสอบแล้ว ทั้งแพตช์ การปรับการตั้งค่า และมาตรการควบคุมชดเชยในกรณีที่ยังไม่มีแพตช์
- ตรวจสอบทุกการแก้ไขด้วยการสแกนซ้ำและบันทึกหลักฐาน เพื่อให้ปัญหาที่ทำเครื่องหมายว่าปิดแล้วยังคงปิดอยู่จริง
- จับคู่การตรวจจับและขอบเขตการครอบคลุมของเอนด์พอยต์เข้ากับ MITRE ATT&CK เพื่อให้คุณเห็นว่าตรวจจับอะไรได้บ้างและช่องว่างอยู่ตรงไหน
- ปรับแต่งการแจ้งเตือนเพื่อลดผลบวกลวงให้เหลือเฉพาะสัญญาณที่ทีมจะลงมือจัดการ แทนที่จะเป็นคอนโซลที่ไม่มีใครอ่าน
02 · สิ่งที่คุณจะได้รับ
ผลลัพธ์ที่เหลืออยู่กับคุณ
- ระบบ Trellix ที่มีการบริหารจัดการและปรับแต่งให้เข้ากับสภาพแวดล้อมของคุณ พร้อมนโยบายที่ทีมของคุณอ่านและแก้ไขได้
- ค่าพื้นฐานเอนด์พอยต์ที่มีเอกสารกำกับซึ่งใช้เป็นเกณฑ์ตรวจสอบได้ เพื่อให้จับการเบี่ยงเบนได้ตั้งแต่เนิ่น ๆ แทนที่จะปล่อยให้สะสม
- งานค้างเรื่องช่องโหว่ที่ลดลงจริง โดยปัญหาที่ปิดแต่ละรายการมีการสแกนซ้ำรองรับ
- การแจ้งเตือนที่ทีมของคุณเชื่อถือได้ เพราะสัญญาณรบกวนหมดไปและสิ่งที่เหลืออยู่คือเรื่องจริง
- บันทึกเป็นลายลักษณ์อักษรสั้น ๆ ว่าอะไรเปลี่ยนไป เพราะอะไร และอะไรที่ยังติดตามอยู่ ส่งมอบให้ทีมของคุณ
03 · เครื่องมือและความรู้
สิ่งที่ผมใช้ในงานด้านนี้
04 · วิธีที่ผมทำงาน
วางแผน กำหนดขอบเขต และรับผิดชอบจนจบ
เริ่มต้นด้วยการพูดคุยกำหนดขอบเขต 30 นาที และการประเมินความเหมาะสมเป็นลายลักษณ์อักษรภายในวันเดียวกัน เพื่อให้คุณรู้ว่าจุดที่มีการเปิดเผยจริงอยู่ตรงไหนก่อนที่เราจะลงมือแตะอะไร จากนั้นผมทำงานตามแผนการเปลี่ยนแปลงที่มีเอกสารกำกับ พร้อมแผนย้อนกลับสำหรับการเปลี่ยนแปลงในระบบที่ใช้งานจริงทุกครั้ง เพราะการเสริมความแข็งแกร่งให้เอนด์พอยต์ที่กำลังทำงานอยู่อาจทำให้บางอย่างเสียหายได้ และผมต้องการให้เส้นทางกลับถูกเขียนไว้บนกระดาษก่อน การผลักนโยบาย การเปลี่ยนค่าพื้นฐาน และรอบการแก้ไขจะดำเนินการภายในช่วงเวลาที่กำหนดไว้ ตรวจสอบเทียบกับเกณฑ์ที่ตกลงกันไว้ และผมรับผิดชอบการย้อนกลับเองหากเกณฑ์ใดไม่ผ่าน ไม่มีอะไรถูกทำเครื่องหมายว่าเสร็จเพียงเพราะคำพูดของผมเท่านั้น ปัญหาจะถือว่าปิดก็ต่อเมื่อการสแกนซ้ำยืนยันแล้วและมีการบันทึกหลักฐานไว้
05 · คำถาม
คำถามที่ดี คำตอบที่ตรงไปตรงมา
คุณจะเปลี่ยนเครื่องมือเอนด์พอยต์ของเรา หรือทำงานกับสิ่งที่เรามีอยู่แล้ว?
ได้ทั้งสองแบบ หากคุณใช้ Trellix อยู่แล้ว ผมจะปรับแต่งและจัดระเบียบสิ่งที่มีอยู่ หากคุณกำลังเริ่มติดตั้งใหม่หรือเปลี่ยนระบบ ผมจะติดตั้งและกำหนดค่าให้ตั้งแต่ต้น ผมจะไม่ผลักดันการรื้อทิ้งแล้วเปลี่ยนใหม่ทั้งหมดในแบบที่คุณไม่จำเป็นต้องทำ
คุณตัดสินใจว่าจะแก้ไขอะไรก่อนได้อย่างไร?
ตัดสินจากระดับการเปิดเผยจริง ไม่ใช่คะแนนสแกนดิบ ปัญหา CVSS สูงบนเครื่องที่แยกตัวออกมาอาจรอได้ ในขณะที่ปัญหาระดับกลางบนเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตและกำลังตกเป็นเป้าหมายต้องมาก่อน ผมชั่งน้ำหนักความเป็นไปได้ในการถูกโจมตี ระดับการเปิดเผย และสิ่งที่ MITRE ATT&CK แสดงให้เห็นว่าผู้โจมตีใช้จริง แล้วเราจึงแก้ไขตามลำดับนั้น
แล้วปัญหาที่ยังแพตช์ทันทีไม่ได้ล่ะ?
มันจะไม่ถูกปล่อยทิ้งไว้ให้เปิดค้างและถูกลืม ในกรณีที่ยังไม่มีแพตช์ ผมจะวางมาตรการควบคุมชดเชยไว้ จัดทำเอกสารความเสี่ยงและแผนการ และติดตามจนกว่าการแก้ไขที่แท้จริงจะมาถึง
06 · ประสบการณ์ที่เกี่ยวข้อง
งานในด้านใกล้เคียงที่ผมทำ
ต้องการคนมาจัดการเรื่องนี้ไหม?
บอกผมว่าคุณกำลังพยายามขับเคลื่อนอะไร และติดขัดอยู่ตรงไหน เพียงไม่กี่ประโยคก็เพียงพอสำหรับการเริ่มต้น และข้อความจะส่งตรงถึงกล่องจดหมายของผม