A minap telefonáltam egy ügyfelünkkel, és nagyon jó hangulatban volt, amikor megosztotta velem, hogy cége a közelmúltban penetrációs teszt nulla leletekkel tért vissza. Csak néhány ajánlás volt, amelyek jól illeszkedtek a tesztelő csapattal korábban megosztott célokhoz.
Bízott ebben a csapatban, mivel néhány éve használták őket; tudták, hogy mikor tetszett neki az elvégzett tesztelés, hogyan szereti a dokumentált dolgokat, és gyorsabban (és olcsóbban) tudtak tesztelni. Természetesen az éves tollteszt során ellenőrizték a megfelelőségi dobozt, de valóban tesztelték a szervezetet, vagy védett volt-e a legutóbbi kibertámadások bármelyike ellen? Nem. Ha valami, a szervezetnek most hamis biztonságérzete volt.
Azt is megemlítette, hogy a közelmúltban asztali gyakorlat (a behatolási tesztnek az a része, ahol a szervezet biztonságában részt vevő kulcsfontosságú érdekeltek megvitatják szerepeiket, felelősségeiket és a kapcsolódó tevékenységeiket, valamint a hamis kibertámadásra adott válaszaikat) az incidensekre adott válasz a ransomware-re vonatkozik. te kellene a zsarolóvírusokra kell összpontosítania, ha az előző tesztelések még nem foglalkoztak vele, de mi a helyzet az emberi kockázattal vagy a bennfentes fenyegetéssel? Míg a legújabb eredmények szerint négyből három kiberfenyegetés és támadás szervezeten kívülről érkezik, és a partnereket érintő incidensek általában sokkal nagyobbak, mint a külső források okozta események. Ugyanezen tanulmányok szerint a privilegizált felek több kárt okozhatnak a szervezetben, mint a kívülállók.
Tehát miért végzünk még mindig durva behatolási teszteket, ha reális fenyegetéseket emulálhatunk, és stressz-tesztelhetjük azokat a rendszereket, amelyek a leginkább veszélyeztetettek a maximális üzleti károk miatt? Miért nem vizsgáljuk meg a szervezetet fenyegető legmakacsabb fenyegetéseket az ISAC, CISA és más fenyegetési jelentések könnyen elérhető ismeretei alapján, hogy reális és hatásos asztali felületeket építsünk fel? Ezt utánozhatjuk a behatolási teszteléssel és a rendszerek egyre valósághűbb stressztesztjével, hogy lehetővé tegyük egy kifinomult, etikus hackercsapat segítségét, szemben azzal, hogy a jövőben valamikor elkerülhetetlen jogsértésre várunk.
A könyvvizsgáló szervezetek és a szabályozó hatóságok elvárják a vállalatoktól, hogy kellő átvilágítást végezzenek saját technológiai és biztonsági készletükön, de még mindig nem követelik meg a ma megkövetelt szigort. Az előretekintő szervezetek egyre kifinomultabbak tesztelésük során, és fenyegetésmodellezési gyakorlataikat beépítik a behatolási tesztekbe és az ellenfél szimulációiba (más néven vörös csapat tesztelése). Ez segít abban, hogy holisztikusan modellezzék a fenyegetéstípusokat, lemérjék azok valószínűségét, majd teszteljék fizikai és műszaki vezérlőik hatékonyságát. Etikus hackercsapatok képesnek kell lennie arra, hogy egy zajos behatolási tesztről idővel egy lopakodó ellenfél szimulációjává váljon, az ügyféllel együttműködve a kényes és határon kívüli berendezések, például pénzügyi szolgáltatások kereskedési platformjai vagy kaszinójáték-rendszerei köré szabott megközelítést.
A vörös csapatok nem csupán a szakemberek támadó csoportja, akik egy vállalat hálózatait tesztelik; manapság a legkeresettebb kiberszakértőkből állnak, akik a kifinomult kibertámadások mögött meghúzódó technológiát élik és lélegzik.
Az erős támadó biztonsági partnerek robusztus vörös csapatokat kínálnak; a szervezeteknek törekedniük kell arra, hogy képesek legyenek megvédeni és felkészülni napjaink veszélyes kiberbűnözői vagy nemzetállami fenyegetési szereplőire. A kiberbiztonsági partner kiválasztásakor néhány dolgot figyelembe kell venni.
Ez a partner próbál eladni neked valamit, vagy agnosztikus?
Egy legitim és robusztus kiberbiztonsági programot egy olyan csapat hoz létre, amely az Ön körülményeinek megfelelő technológiával kívánja felszerelni szervezetét. Nem minden technológia egyforma, ezért a termékeket nem szabad előre ajánlani, hanem a vállalat igényeinek és egyedi követelményeinek alapos áttekintését követően kell javasolni.
K+F származtatása védekező adatokból
Tudja meg, hogy csapatuk kutat-e és fejleszt-e egyéni eszközöket és rosszindulatú programokat a legújabb végpontészlelés és -válasz, valamint egyéb fejlett védelem alapján. A kiberbiztonságnak nincs „cookie-cutter” megközelítése, és nem is kell lennie. A szervezet fejlett kibertámadások elleni felkészítésére és védelmére szolgáló eszközöket folyamatosan fejlesztik és árnyalják, hogy leküzdjék a bűnözők egyre kifinomultabb állapotát.
Szerezd meg a legjobbat
Támadó biztonsági mérnökeik valóban nemzetállami kaliberűek, hogy elkerüljék az észlelést és fenntartsák a lopakodást, vagy a megfelelőségen alapuló tolltesztelők? Egyszerűen fogalmazva: a legjobb, legtapasztaltabb csapat dolgozik Önnel? Ha nem, keress másik társat.
Ellenőrizze a gondolkodásmódot
A csapat a megfelelőségi vagy a fenyegetésekre való felkészültséggel vezet? Bár a megfelelőségi ellenőrző listák fontosak az alapok megléte érdekében, ez csak az: egy ellenőrző lista. A szervezeteknek tisztában kell lenniük azzal, hogy az ellenőrző listán túl mire van szükségük a nap 24 órájában, a hét minden napján.
Végső soron keressen egy kiberpartnert, aki felteszi a nehéz kérdéseket, és meghatározza a legszélesebb körű szempontokat egy program elemzése során. Olyan támadó megoldást kell kínálnia, amely egy lépéssel a kiberbűnözők előtt tartja a szervezetet, akik továbbra is emelik a lécet a maximális rugalmasság érdekében. Lépjen túl a tollteszten!
