Ich habe neulich mit einer Kundin telefoniert und sie war in bester Stimmung, als sie mir von den jüngsten Neuigkeiten ihres Unternehmens erzählte Penetrationstest war ohne Befund zurückgekommen. Es gab nur wenige Empfehlungen, die gut mit den Zielen übereinstimmten, die sie zuvor dem Testteam mitgeteilt hatte.
Sie vertraute diesem Team, da es schon seit einigen Jahren im Einsatz war; Sie wussten, wann ihr die durchgeführten Tests gefielen, wie ihr dokumentierte Dinge gefielen, und konnten schneller (und kostengünstiger) testen. Sicherlich wurde mit diesem jährlichen Pentest das Compliance-Kästchen überprüft, aber wurde die Organisation wirklich getestet oder war sie vor den jüngsten Cyberangriffen geschützt? Nein. Wenn überhaupt, hatte die Organisation jetzt ein falsches Sicherheitsgefühl.
Sie erwähnte auch, dass sie kürzlich waren Tischübung (der Teil des Penetrationstests, in dem wichtige an der Sicherheit der Organisation beteiligte Stakeholder ihre Rollen, Verantwortlichkeiten und die damit verbundenen Aktionen und Reaktionen auf den simulierten Cyberverstoß besprechen) für die Reaktion auf Vorfälle bezog sich auf Ransomware. Du sollte Konzentrieren Sie sich auf Ransomware, wenn diese nicht bereits in früheren Tests behandelt wurde. Aber wie sieht es mit dem menschlichen Risiko oder der Bedrohung durch Insider aus? Während neueren Erkenntnissen zufolge Drei von vier Cyber-Bedrohungen und -Angriffen kommen von außerhalb von Organisationen, und Vorfälle, an denen Partner beteiligt sind, sind tendenziell viel größer als solche, die durch externe Quellen verursacht werden. Dieselben Studien zufolge können privilegierte Parteien der Organisation mehr Schaden zufügen als Außenstehende.
Warum führen wir also immer noch oberflächliche Penetrationstests durch, wenn wir realistische Bedrohungen emulieren und die am stärksten gefährdeten Systeme einem Stresstest unterziehen können, um maximalen Geschäftsschaden zu erzielen? Warum betrachten wir nicht die hartnäckigsten Bedrohungen für ein Unternehmen und nutzen dabei leicht verfügbare Erkenntnisse aus ISAC, CISA und anderen Bedrohungsberichten, um realistische und wirkungsvolle Tabletops zu erstellen? Wir können dies dann durch Penetrationstests und immer realistischere Stresstests von Systemen nachahmen, um einem hochentwickelten ethischen Hacking-Team die Hilfe zu ermöglichen, anstatt auf einen wahrscheinlich unvermeidlichen Verstoß irgendwann in der Zukunft zu warten.
Prüfungsorganisationen und Aufsichtsbehörden erwarten von Unternehmen, dass sie ihre eigene Technologie und Sicherheit sorgfältig prüfen, aber sie verlangen immer noch nicht das Maß an Genauigkeit, das heute erforderlich ist. Zukunftsorientierte Unternehmen werden bei ihren Tests immer anspruchsvoller und integrieren ihre Tabletop-Übungen zur Bedrohungsmodellierung in ihre Penetrationstests und Gegnersimulationen (auch Red-Team-Tests genannt). Dies hilft sicherzustellen, dass sie Bedrohungstypen ganzheitlich modellieren, ihre Wahrscheinlichkeit testen und dann die Wirksamkeit ihrer physischen und technischen Kontrollen testen. Ethische Hacking-Teams sollte in der Lage sein, im Laufe der Zeit von einem lauten Penetrationstest zu einer verstohleneren Gegnersimulation überzugehen und dabei mit dem Kunden zusammenzuarbeiten, um den Ansatz auf heikle und tabuisierte Geräte wie Finanzdienstleistungs-Handelsplattformen oder Casino-Gaming-Systeme zuzuschneiden.
Rote Teams sind nicht nur die offensive Gruppe von Profis, die die Netzwerke eines Unternehmens einer Penetrationsprüfung unterziehen; Heutzutage bestehen sie aus einigen der gefragtesten Cyber-Experten, die die Technologie hinter raffinierten Cyber-Angriffen leben und atmen.
Starke offensive Sicherheitspartner bieten robuste rote Teams; Unternehmen sollten sicherstellen, dass sie sich vor den gefährlichen Cyberkriminellen oder nationalstaatlichen Bedrohungsakteuren von heute schützen und sich darauf vorbereiten können. Bei der Suche nach einem Partner für Cybersicherheit gibt es einige Dinge zu beachten.
Versucht dieser Partner, Ihnen etwas zu verkaufen, oder ist er agnostisch?
Ein legitimes und robustes Cybersicherheitsprogramm wird von einem Team erstellt, das Ihr Unternehmen mit der Technologie ausstatten möchte, die für Ihre Umstände am besten geeignet ist. Nicht alle Technologien sind eine Einheitslösung, daher sollten Produkte nicht im Voraus empfohlen werden, sondern nach einer gründlichen Prüfung der Bedürfnisse und individuellen Anforderungen Ihres Unternehmens vorgeschlagen werden.
Ableitung von Forschung und Entwicklung aus Verteidigungsdaten
Finden Sie heraus, ob ihr Team benutzerdefinierte Tools und Malware erforscht und entwickelt, die auf der neuesten Endpunkterkennung und -reaktion sowie anderen fortschrittlichen Abwehrmaßnahmen basieren. Es gibt keinen einheitlichen Ansatz für Cybersicherheit und sollte es auch nie geben. Die Tools zur Vorbereitung und Verteidigung eines Unternehmens gegen komplexe Cyberangriffe werden ständig verbessert und verfeinert, um der zunehmenden Raffinesse der Kriminellen entgegenzuwirken.
Holen Sie das Beste
Sind ihre offensiven Sicherheitsingenieure wirklich nationalstaatliches Kaliber, um sich der Entdeckung zu entziehen und Tarnung aufrechtzuerhalten, oder handelt es sich bei ihnen um Compliance-basierte Penetrationstester? Einfach ausgedrückt: Arbeiten Sie mit dem besten und erfahrensten Team zusammen? Wenn nicht, suchen Sie sich einen anderen Partner.
Überprüfen Sie die Denkweise
Leitet das Team eine Compliance-Mentalität oder eine Bedrohungsbereitschaft? Während Compliance-Checklisten wichtig sind, um sicherzustellen, dass Sie über die Grundlagen verfügen, handelt es sich dabei genau um eine Checkliste. Organisationen sollten verstehen, was sie über die Checkliste hinaus benötigen, um rund um die Uhr sicher zu bleiben.
Finden Sie letztendlich einen Cyber-Partner, der bei der Analyse eines Programms die schwierigsten Fragen stellt und den größtmöglichen Umfang an Überlegungen ermittelt. Es sollte eine offensive Lösung bieten, mit der Ihr Unternehmen den Cyberkriminellen immer einen Schritt voraus ist und die die Messlatte für maximale Widerstandsfähigkeit immer höher legt. Gehen Sie über den Pen-Test hinaus!
