5 viisi, kuidas turvatestimine võib intsidentidele reageerida

Ei saa alahinnata, kui oluline on, et organisatsioonid mõistaksid, kes on nende vastased ja kuidas nad tegutsevad oma ettevõtte keskkonnas. Sellest vaatenurgast tuleb lähtuda organisatsiooni lähenemisest küberturvalisuse testimisele ja vastupidavuse parandamisele üha muutlikuma ohumaastiku tingimustes.

Hästi läbimõeldud küberturvalisuse testimisprogrammi põhielemendid peaksid olema aidata organisatsioonil tuvastada ja kõrvaldada haavatavused, pidevalt vaidlustada avastamis- ja reageerimisvõimet, täpsustada ohuteabe kogumise prioriteete ja parandada üldist valmisolekut intsidentideks reageerimisplaanide pideva stressitesti abil. The IBMi andmete rikkumise 2022. aasta aruande maksumus näitab, et intsidentidele reageerimise plaane regulaarselt testivate organisatsioonide keskmine rikkumiskulude kokkuhoid on 2.66 miljonit dollarit (umbes 2 miljonit naela).

Kuigi ühest kõigile sobivat lahendust pole, on siin viis peamist kaalutlust, millele organisatsioonid saavad keskenduda, töötades välja kõikehõlmavat strateegiat küberturvalisuse testimisprogrammi koostamiseks ja haldamiseks.

1. Tehke koostööd meeskondade vahel

Koostöös peitub organisatsiooni tugevus, seega peaksid turvameeskonnad keskenduma sisemiste suhete loomisele erinevate gruppidega. Turvameeskonnad peaksid meeles pidama, et inimkomponent on kriitilise tähtsusega, ja määratlema selge protsessi, mis võimaldab tõhusalt turvaoperatsioonide keskuse (SOC), riskide/nõuete täitmise, haavatavuse haldamise (VM), küberohtude luure (CTI) ja turvatesti funktsioonide esindajatel kasutada edendada koostööd.

Võimaluse korral julgustage neid meeskondi isiklikult arutama. See loob võimaluse meeskonnaüleseks suhtluseks isiklikul tasandil ja arendab sõprustunnet, mis aitab ühise eesmärgi saavutamisel palju kaasa.

Juhtimisraamistiku loomine, mis määratleb selged kohustused ja soodustab läbipaistvat suhtlust nende meeskondade vahel, et tulemusi kiiresti jagada, võimaldab paremaid otsuseid teha, intsidentidele kiiremini reageerida ja organisatsiooni kübervõimekust põhjalikult hinnata.

Koostöö võimaldab üksteise tehnikaid ja meetodeid paremini hinnata, samuti vahetada teadmisi ja ekspertteadmisi, et täiustada ohtude tuvastamise ja leevendamise strateegiaid.

2. Järgige luurepõhist ja riskipõhist lähenemisviisi ulatuse määratlusele

Ohutuure pideva kureerimise protsess peaks võimaldama organisatsioonidel luua ja hooldada terviklikku ja ajakohast rünnakute baasstsenaariumide kogu. Esiteks tehke kindlaks, millised ohus osalejate rühmad on tõenäoliselt motiveeritud organisatsiooni sihtima. Selle katmine väljakujunenud lähtestsenaariumitega aitab koostada põhjaliku loendi taktikad, tehnikad ja protseduurid (TTP).

Organisatsioonide keskkonnas on sageli mitu vara, mis muudab riskipunktide tuvastamise ja hindamise, kuhu ja kui palju raha haavatavuse tuvastamiseks ja parandamiseks kulutada, raskeks. Ajastuse seisukohast ei pruugi olla realistlik hinnata tuvastatud TTP-de täielikku loendit kõigi kohaldamisalasse kuuluvate varade suhtes.

Riskipõhisem lähenemine on luua TTP-jadadest usutav alamhulk ning kombineerida loominguliselt infrastruktuuri ja tarkvara üksikasju ilma ulatusliku kontrollnimekirjaga sidumata. See loob suunatud alamstsenaariumid, millele rünnakusimulatsioonimeeskond esialgu keskenduda.

See lähenemisviis aitab CISO-del üksikasjalikumalt mõõta olemasolevate praktiliste leevendusmeetmete tugevust ja tuvastada esmatähtsad valdkonnad kriitilistes äriteenustes, kasutades samal ajal olemasolevaid ressursse optimaalselt.

3. Viige läbi küberkaitse juhtelementide pidev stressitestimine

Kasutage stsenaariume ja prioriteetsete TTP-de loendit, mis on määratletud, et pidevalt rakendada organisatsiooni tehnilisi ja ärilisi reaktsioone. Stsenaariumide alamhulk peaks muutuma keerukamaks intsidentidele reageerimise programm küpseb. Kui turvameeskond varem ebaõnnestus, tuleb neid stsenaariume korrata, et organisatsioon saaks tõelise rünnaku korral protsessi täiustada.

Oluline on valida "madal ja aeglane" taktika, mida SOC suudab tuvastada ja VM-i meeskond saab parandada – kuid ärge tehke asju liiga lihtsaks. TTP-de hoolikas valimine, mille vastu SOC-l on raskem kaitsta, julgustab neid meeskondi pidevalt oma tehnikat teritama ja sundima organisatsiooni reageerimisstrateegiaid värskendama.

Valiku keerukuse, varjamise ja kiiruse vahel määravad organisatsiooni riskiprofiil ja ohuprioriteedid, mis on aidanud kaasa konkreetse testimise stsenaariumi kujundamisele.

4. Määrake ühise mõistmise ja täiustamise jälgimise mõõdikud

Edukriteeriumid tuleb määratleda ja jälgida, et näidata organisatsiooni varade riskide üldist vähenemist. Mõõdikud, nagu vähendatud tuvastamis- ja/või reageerimisajad, edukate rünnakute arvu vähenemine ja nii edasi, on kasulikud tahvli täiustamise tõhusaks sõnastamiseks.

Kasulik on võrrelda eelmiste ja järgnevate läbitungimistestide, punase meeskonna harjutuste ja/või suunatud rünnakute simulatsioonide tulemusi, keskendudes tuvastatud ja ära kasutatud kõrge riskiga haavatavuste arvule ning testijate üldisele edukuse määrale.

Võimalus analüüsida muutusi ohumaastikul ja näidata suurenenud suutlikkust leevendada praegusi ja arenevaid ohte, aitab CISO-del näidata paremat riskide vähendamist.

5. Looge tagasisidekanalid protsesside täiustamiseks

Jaotage katsevaatlused teostatud TTP-de suhtes koos rünnakuahelas tuvastatud rakendatavate leevendustega. Testitulemused annavad ka parema ülevaate sellest, milliseid turvaauke kõige tõenäolisemalt ära kasutatakse, ja need võivad aidata VM-protsessis riskide prioriseerimist täpsustada.

Nende tulemuste reaalajas jagamine CTI meeskonnaga võimaldab neil jälgida võimalikke ohte, mis võivad turvaauke ära kasutada, parandab dokumenteeritud ohtude teoreetilist mõistmist ja annab ülevaate varem tundmatutest haavatavustest ning aitab seada tähtsuse järjekorda edasise uurimise ja analüüsi jaoks vajalikud valdkonnad.

Äärmiselt kasulik on tsentraliseeritud armatuurlaud testväljundite reaalajas koondamiseks kohapealt, mis võib pakkuda asjaomastele SOC-meeskonna sidusrühmadele turvaseirevahendites ja hoiatussüsteemides tuvastatud lünki.

Hoolitseda a treeningulatust IR-plaanide praktiseerimine ja kinnitamine ning valdkondade tuvastamine, kus reageerimisaegu tuleb parandada, on kasulik üldise intsidentide valmisoleku parandamiseks.

Lõpp-eesmärk

. WEF Global Cyber ​​Security Outlook 2023 väidab, et 43% ettevõtete juhtidest usub, et nende organisatsiooni tabab järgmise kahe aasta jooksul tõenäoliselt suur rünnak. Küberturvalisuse testimise kõikehõlmav muudatus tänu tihedamale koostööle ja täiustatud riskijuhtimisprotsessidele suurendab vastupanuvõimet küberrünnakutele.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge-articles/5-ways-security-testing-can-aid-incident-response