لقد كنت في مكالمة مع أحد العملاء في ذلك اليوم وكانت في حالة مزاجية رائعة حيث أخبرتني أن أحدث أعمال شركتها اختبار الاختراق لقد عاد مع نتائج صفر. لم يكن هناك سوى عدد قليل من التوصيات التي كانت تتماشى جيدًا مع الأهداف التي شاركتها سابقًا مع فريق الاختبار.
لقد وثقت بهذا الفريق لأنه تم استخدامه لبضع سنوات. لقد عرفوا متى أعجبتها الاختبار الذي تم إجراؤه، وكيف أحببت الأشياء الموثقة، ويمكنها إجراء الاختبار بشكل أسرع (وأرخص). من المؤكد أنه تم التحقق من مربع الامتثال من خلال اختبار القلم السنوي هذا، ولكن هل تم اختبار المنظمة حقًا أو حمايتها ضد أي من أحدث الهجمات الإلكترونية؟ لا، بل إن المنظمة لديها الآن شعور زائف بالأمان.
وذكرت أيضا أن الأخيرة تمرين منضدية (جزء من اختبار الاختراق حيث يناقش أصحاب المصلحة الرئيسيون المشاركون في أمن المنظمة أدوارهم ومسؤولياتهم وإجراءاتهم واستجاباتهم ذات الصلة للاختراق السيبراني الوهمي) وكانت الاستجابة للحوادث تتعلق ببرامج الفدية. أنت ينبغي التركيز على برامج الفدية إذا لم يتم تغطيتها بالفعل في الاختبارات السابقة، ولكن ماذا عن المخاطر البشرية أو التهديد الداخلي؟ في حين، وفقا للنتائج الأخيرة، ثلاثة من كل أربعة تهديدات وهجمات إلكترونية تأتي من خارج المؤسسات, والحوادث التي يشارك فيها الشركاء تميل إلى أن تكون أكبر بكثير من تلك الناجمة عن مصادر خارجية. ووفقاً لتلك الدراسات نفسها، يمكن للأحزاب المميزة أن تلحق ضرراً بالمنظمة أكبر من الضرر الذي يلحقه الغرباء.
فلماذا لا نزال نقوم باختبارات الاختراق الروتينية عندما نتمكن من محاكاة التهديدات الواقعية واختبار الضغط على الأنظمة الأكثر عرضة للخطر لتحقيق أقصى قدر من الضرر للأعمال؟ لماذا لا ننظر إلى التهديدات الأكثر استمرارًا التي تواجهها المؤسسة باستخدام الرؤى المتوفرة بسهولة من ISAC وCISA وتقارير التهديدات الأخرى لإنشاء أجهزة كمبيوتر لوحية واقعية ومؤثرة؟ يمكننا بعد ذلك محاكاة ذلك من خلال اختبار الاختراق واختبار التحمل الواقعي بشكل متزايد للأنظمة للسماح لفريق القرصنة الأخلاقية المتطور بالمساعدة، مقابل انتظار ما يحتمل أن يكون اختراقًا لا مفر منه في مرحلة ما في المستقبل.
تتوقع منظمات التدقيق والهيئات التنظيمية من الشركات أن تقوم بالعناية الواجبة بشأن التكنولوجيا والأمن الخاصة بها، لكنها لا تزال لا تتطلب مستوى الدقة المطلوب اليوم. أصبحت المؤسسات ذات التطلعات المستقبلية أكثر تطورًا من خلال اختباراتها ودمج تمارين نمذجة التهديدات الخاصة بها مع اختبارات الاختراق ومحاكاة الخصم (وتسمى أيضًا اختبار الفريق الأحمر). ويساعد ذلك على ضمان قيامهم بنمذجة أنواع التهديدات بشكل شامل، وممارسة احتمالاتها، ثم اختبار فعالية ضوابطهم المادية والفنية. فرق القرصنة الأخلاقية يجب أن يكون قادرًا على التقدم من اختبار اختراق صاخب إلى محاكاة خصم أكثر سرية بمرور الوقت، والعمل مع العميل لتصميم النهج حول المعدات الحساسة وغير المحدودة، مثل منصات تداول الخدمات المالية أو أنظمة ألعاب الكازينو.
الفرق الحمراء ليست مجرد مجموعة هجومية من المحترفين الذين يختبرون شبكات الشركة؛ وفي هذه الأيام، يتكون الفريق من بعض خبراء الإنترنت الأكثر طلبًا والذين يعيشون ويتنفسون التكنولوجيا وراء الهجمات الإلكترونية المتطورة.
يقدم الشركاء الأمنيون الهجوميون الأقوياء فرقًا حمراء قوية؛ يجب أن تتطلع المنظمات إلى التأكد من قدرتها على الحماية والاستعداد لمجرمي الإنترنت الخطير أو تهديد الدولة القومية اليوم. عند التفكير في شريك للأمن السيبراني، هناك بعض الأشياء التي يجب مراعاتها.
هل يحاول هذا الشريك أن يبيع لك شيئًا أم أنه لا أدري؟
يتم إنشاء برنامج الأمن السيبراني الشرعي والقوي من قبل فريق يتطلع إلى تزويد مؤسستك بالتكنولوجيا المناسبة لظروفك. ليست كل التقنيات ذات مقاس واحد يناسب الجميع، وبالتالي، لا ينبغي التوصية بالمنتجات مقدمًا ولكن يجب اقتراحها بعد مراجعة شاملة لاحتياجات شركتك ومتطلباتها الفريدة.
استخلاص البحث والتطوير من البيانات الدفاعية
اكتشف ما إذا كان فريقهم يقوم بالبحث وتطوير الأدوات المخصصة والبرامج الضارة استنادًا إلى أحدث اكتشاف لنقطة النهاية والاستجابة لها والدفاعات المتقدمة الأخرى. لا يوجد نهج قاطع للأمن السيبراني، ولا ينبغي أن يكون هناك أي شيء على الإطلاق. يتم باستمرار ترقية الأدوات المستخدمة لإعداد المؤسسة والدفاع عنها ضد الهجمات الإلكترونية المتقدمة وتعديلها بدقة لمكافحة التعقيد المتزايد للمجرمين.
الحصول على أفضل
هل مهندسو الأمن الهجومي لديهم يتمتعون حقًا بقدرة الدولة القومية على تجنب الكشف والحفاظ على التخفي، أم أنهم مختبرون يعتمدون على الامتثال؟ ببساطة، هل لديك أفضل فريق وأكثرهم خبرة للعمل معك؟ إذا لم يكن الأمر كذلك، ابحث عن شريك آخر.
تحقق من العقلية
هل يقود الفريق بعقلية الامتثال أم الاستعداد للتهديد؟ على الرغم من أهمية قوائم التحقق من الامتثال لضمان توفر الأساسيات لديك، إلا أنها مجرد: قائمة مرجعية. يجب أن تفهم المنظمات ما تحتاجه، بخلاف القائمة المرجعية، للبقاء آمنًا على مدار الساعة طوال أيام الأسبوع.
وفي نهاية المطاف، ابحث عن شريك إلكتروني يطرح الأسئلة الصعبة ويحدد نطاقًا أوسع من الاعتبارات عند تحليل البرنامج. وينبغي أن يقدم حلاً هجوميًا من شأنه أن يبقي مؤسستك متقدمة بخطوة على مجرمي الإنترنت الذين يواصلون رفع مستوى تحقيق أقصى قدر من المرونة. تجاوز اختبار القلم!
