Jeg var til en samtale med en kunde forleden, og hun var i godt humør, da hun fortalte mig, at hendes virksomheds seneste penetrationstest var kommet tilbage med nul fund. Der var kun få anbefalinger, der var godt i tråd med de mål, hun tidligere havde delt med testteamet.
Hun stolede på dette hold, da de havde været brugt i et par år; de vidste, hvornår hun kunne lide den udførte test, hvordan hun kunne lide tingene dokumenteret og kunne teste hurtigere (og billigere). Bestemt, overensstemmelsesboksen blev tjekket med denne årlige pen-test, men var organisationen virkelig testet eller beskyttet mod nogen af de seneste cyberangreb? Nej. Om noget, så havde organisationen nu en falsk følelse af sikkerhed.
Hun nævnte også, at deres seneste bordøvelse (den del af penetrationstesten, hvor nøgleinteressenter, der er involveret i organisationens sikkerhed, diskuterer deres roller, ansvar og deres relaterede handlinger og svar på det falske cyberbrud) for hændelsessvar var ransomware. Du bør være fokuseret på ransomware, hvis det ikke allerede er blevet dækket i tidligere test, men hvad med menneskelig risiko eller insidertrussel? Mens ifølge de seneste resultater, tre ud af fire cybertrusler og -angreb kommer uden for organisationer, og hændelser, der involverer partnere, har tendens til at være meget større end dem, der er forårsaget af eksterne kilder. Ifølge de samme undersøgelser kan privilegerede parter gøre mere skade på organisationen end udenforstående.
Så hvorfor laver vi stadig overflødige penetrationstests, når vi kan efterligne realistiske trusler og stressteste de systemer, der er mest udsat for maksimal forretningsskade? Hvorfor ser vi ikke på de mest vedvarende trusler mod en organisation ved at bruge let tilgængelig indsigt fra ISAC, CISA og andre trusselsrapporter til at bygge realistiske og virkningsfulde bordplader? Vi kan så efterligne det gennem penetrationstest og stadig mere realistisk stresstest af systemer for at tillade et sofistikeret etisk hacking-team at hjælpe, i stedet for at vente på, hvad der sandsynligvis er et uundgåeligt brud på et tidspunkt i fremtiden.
Revisionsorganisationer og tilsynsmyndigheder forventer, at virksomheder udfører due diligence på deres egen teknologi- og sikkerhedsstak, men de kræver stadig ikke det strenghedsniveau, der kræves i dag. Fremadrettede organisationer bliver mere sofistikerede med deres testning og inkorporerer deres trusselsmodellering bordpladeøvelser med deres penetrationstest og modstanders simuleringer (også kaldet red team testing). Dette hjælper med at sikre, at de holistisk modellerer trusselstyper, udøver deres sandsynlighed og derefter tester effektiviteten af deres fysiske og tekniske kontroller. Etiske hacking teams skal være i stand til at udvikle sig fra en støjende penetrationstest til en mere snigende modstandersimulering over tid, og arbejde sammen med kunden for at skræddersy tilgangen omkring følsomt og off-limits udstyr, såsom handelsplatforme for finansielle tjenester eller kasinospilsystemer.
Røde hold er ikke kun den offensive gruppe af fagfolk, der tester en virksomheds netværk; i disse dage består de af nogle af de mest eftertragtede cybereksperter, der lever og ånder teknologien bag sofistikerede cyberangreb.
Stærke offensive sikkerhedspartnere tilbyder robuste røde teams; organisationer bør søge at sikre, at de kan beskytte og forberede sig på nutidens farlige cyberkriminelle eller nationalstatslige trusselsaktør. Når du overvejer en cybersikkerhedspartner, er der et par ting, du skal overveje.
Prøver denne partner at sælge dig noget, eller er den agnostisk?
Et legitimt og robust cybersikkerhedsprogram er bygget af et team, der ønsker at udstyre din organisation med den teknologi, der passer til dine forhold. Ikke alle teknologier er one-size-fits-all, og derfor bør produkter ikke anbefales på forhånd, men bør foreslås efter en grundig gennemgang af din virksomheds behov og unikke krav.
Udledning af R&D fra defensive data
Find ud af, om deres team forsker i og udvikler tilpassede værktøjer og malware baseret på den seneste slutpunktsdetektion og -respons og andre avancerede forsvar. Der er ingen cookie-cutter tilgang til cybersikkerhed, og det burde der heller aldrig være. De værktøjer, der bruges til både at forberede og forsvare en organisation mod avancerede cyberangreb, bliver konstant opgraderet og nuanceret for at bekæmpe de kriminelles stigende sofistikerede.
Få det bedste
Er deres offensive sikkerhedsingeniører virkelig nationalstatslig kaliber til at undgå opdagelse og opretholde stealth, eller er de compliance-baserede pen-testere? Kort sagt, har du det bedste og mest erfarne team, der arbejder sammen med dig? Hvis ikke, så find en anden partner.
Tjek tankegangen
Leder teamet med en compliance-tankegang eller en trusselberedskab? Selvom overholdelsestjeklister er vigtige for at sikre, at du har det grundlæggende på plads, er det netop det: en tjekliste. Organisationer bør forstå, hvad de ud over tjeklisten har brug for for at forblive sikre 24/7.
I sidste ende skal du finde en cyberpartner, der vil stille de svære spørgsmål og identificere det bredeste omfang af overvejelser, når du analyserer et program. Det bør tilbyde en offensiv løsning, der vil holde din organisation et skridt foran de cyberkriminelle, som fortsætter med at hæve barren for maksimal modstandskraft. Gå ud over pennetesten!
