Saya sedang menelepon klien beberapa hari yang lalu dan dia sedang dalam suasana hati yang baik saat dia menceritakan kepada saya bahwa perusahaannya baru-baru ini uji penetrasi telah kembali tanpa temuan apa pun. Hanya ada beberapa rekomendasi yang sejalan dengan tujuan yang sebelumnya dia sampaikan kepada tim penguji.
Dia memercayai tim ini karena telah digunakan selama beberapa tahun; mereka tahu kapan dia menyukai pengujian yang dilakukan, betapa dia menyukai hal-hal yang didokumentasikan, dan dapat melakukan pengujian lebih cepat (dan lebih murah). Tentu saja, kotak kepatuhan telah diperiksa dengan uji pena tahunan ini, namun apakah organisasi tersebut benar-benar teruji atau terlindungi dari serangan siber terbaru? Tidak. Malahan, organisasi tersebut sekarang mempunyai rasa aman yang palsu.
Dia juga menyebutkan bahwa mereka baru-baru ini latihan meja (bagian dari uji penetrasi di mana pemangku kepentingan utama yang terlibat dalam keamanan organisasi mendiskusikan peran, tanggung jawab, dan tindakan serta tanggapan mereka terhadap tiruan pelanggaran siber) untuk respons insiden adalah untuk ransomware. Anda harus fokuslah pada ransomware jika belum tercakup dalam pengujian sebelumnya, namun bagaimana dengan risiko manusia atau ancaman orang dalam? Sementara menurut temuan terbaru, tiga dari empat ancaman dan serangan dunia maya datang dari luar organisasi, dan insiden yang melibatkan mitra cenderung jauh lebih besar dibandingkan insiden yang disebabkan oleh sumber eksternal. Menurut penelitian yang sama, pihak-pihak yang memiliki hak istimewa dapat melakukan lebih banyak kerusakan pada organisasi dibandingkan pihak luar.
Jadi, mengapa kita masih melakukan pengujian penetrasi asal-asalan padahal kita bisa meniru ancaman yang realistis dan melakukan stress-test pada sistem yang paling berisiko terhadap kerusakan bisnis maksimum? Mengapa kita tidak melihat ancaman yang paling persisten terhadap suatu organisasi dengan menggunakan wawasan yang tersedia dari ISAC, CISA, dan laporan ancaman lainnya untuk membangun gambaran yang realistis dan berdampak? Kami kemudian dapat menirunya melalui pengujian penetrasi dan pengujian tekanan sistem yang semakin realistis untuk memungkinkan tim peretas etis yang canggih membantu, dibandingkan menunggu pelanggaran yang mungkin terjadi di masa depan.
Organisasi audit dan regulator mengharapkan perusahaan melakukan uji tuntas terhadap teknologi dan keamanan mereka sendiri, namun mereka masih belum memerlukan tingkat ketelitian yang diperlukan saat ini. Organisasi yang berwawasan ke depan menjadi lebih canggih dalam pengujian mereka dan menggabungkan latihan meja pemodelan ancaman dengan pengujian penetrasi dan simulasi musuh (juga disebut pengujian tim merah). Hal ini membantu memastikan bahwa mereka memodelkan jenis ancaman secara holistik, menggunakan probabilitasnya, dan kemudian menguji keefektifan kontrol fisik dan teknisnya. Tim peretasan etis harus dapat berkembang dari uji penetrasi yang rumit ke simulasi musuh yang lebih tersembunyi dari waktu ke waktu, bekerja dengan klien untuk menyesuaikan pendekatan seputar peralatan yang sensitif dan terlarang, seperti platform perdagangan jasa keuangan atau sistem permainan kasino.
Tim merah bukan hanya kelompok profesional penyerang yang menguji jaringan perusahaan; Saat ini, mereka terdiri dari beberapa pakar siber yang paling dicari dan memahami teknologi di balik serangan siber yang canggih.
Mitra keamanan ofensif yang kuat menawarkan tim merah yang kuat; Organisasi-organisasi harus berupaya memastikan bahwa mereka dapat melindungi dan bersiap menghadapi pelaku kejahatan siber atau ancaman terhadap negara yang berbahaya saat ini. Saat mempertimbangkan mitra keamanan siber, ada beberapa hal yang perlu dipertimbangkan.
Apakah Mitra Ini Mencoba Menjual Sesuatu kepada Anda atau Agnostik?
Program keamanan siber yang sah dan kuat dibangun oleh tim yang ingin melengkapi organisasi Anda dengan teknologi yang tepat untuk situasi Anda. Tidak semua teknologi cocok untuk semua orang, dan oleh karena itu, produk tidak boleh direkomendasikan terlebih dahulu, namun sebaiknya disarankan setelah melakukan tinjauan menyeluruh terhadap kebutuhan dan persyaratan unik perusahaan Anda.
Berasal dari Penelitian dan Pengembangan dari Data Defensif
Cari tahu apakah tim mereka meneliti dan mengembangkan alat khusus dan malware berdasarkan deteksi dan respons titik akhir terbaru serta pertahanan canggih lainnya. Tidak ada pendekatan cookiecutter terhadap keamanan siber, dan seharusnya tidak pernah ada. Peralatan yang digunakan untuk mempersiapkan dan melindungi organisasi dari serangan siber tingkat lanjut terus ditingkatkan dan disesuaikan untuk memerangi semakin canggihnya para penjahat.
Dapatkan yang Terbaik
Apakah teknisi keamanan ofensif mereka benar-benar berkemampuan negara untuk menghindari deteksi dan menjaga kerahasiaan, atau apakah mereka penguji pena berbasis kepatuhan? Sederhananya, apakah Anda memiliki tim terbaik dan berpengalaman yang bekerja bersama Anda? Jika tidak, carilah pasangan lain.
Periksa Pola Pikir
Apakah tim memimpin dengan pola pikir kepatuhan atau kesiapan terhadap ancaman? Meskipun daftar periksa kepatuhan penting untuk memastikan Anda memiliki dasar-dasarnya, daftar tersebut hanyalah: sebuah daftar periksa. Organisasi harus memahami apa saja, selain daftar periksa, yang mereka butuhkan untuk tetap aman 24/7.
Pada akhirnya, temukan mitra dunia maya yang akan mengajukan pertanyaan sulit dan mengidentifikasi cakupan pertimbangan terluas saat menganalisis suatu program. Hal ini harus menawarkan solusi ofensif yang akan membuat organisasi Anda selangkah lebih maju dari para penjahat dunia maya yang terus meningkatkan standar ketahanan maksimum. Melampaui tes pena!
