L'altro giorno ero al telefono con una cliente ed era di ottimo umore quando mi ha detto che la sua azienda è recente test di penetrazione era tornato con zero risultati. C'erano solo poche raccomandazioni che erano perfettamente in linea con gli obiettivi che aveva precedentemente condiviso con il team di test.
Si fidava di questa squadra perché era stata usata per alcuni anni; sapevano quando le piacevano i test eseguiti, quanto le piacevano le cose documentate e potevano testare più velocemente (e meno costoso). Certamente, la casella della conformità veniva verificata con questo pen test annuale, ma l'organizzazione era veramente testata o protetta da uno dei più recenti attacchi informatici? No. Semmai, l'organizzazione ora aveva un falso senso di sicurezza.
Ha anche detto che sono recenti esercizio da tavolo (la parte del test di penetrazione in cui le principali parti interessate coinvolte nella sicurezza dell'organizzazione discutono dei loro ruoli, responsabilità e delle relative azioni e risposte alla finta violazione informatica) per la risposta agli incidenti era per il ransomware. Voi dovrebbero concentrarsi sul ransomware se non è già stato trattato nei test precedenti, ma per quanto riguarda il rischio umano o la minaccia interna? Mentre, secondo recenti scoperte, tre minacce e attacchi informatici su quattro provengono dall'esterno delle organizzazioni, e gli incidenti che coinvolgono i partner tendono ad essere molto più grandi di quelli causati da fonti esterne. Secondo quegli stessi studi, i soggetti privilegiati possono arrecare più danni all'organizzazione rispetto agli estranei.
Quindi, perché continuiamo a eseguire test di penetrazione superficiale quando possiamo emulare minacce realistiche e sottoporre a stress test i sistemi più a rischio per il massimo danno aziendale? Perché non stiamo esaminando le minacce più persistenti per un'organizzazione utilizzando informazioni prontamente disponibili da ISAC, CISA e altri rapporti sulle minacce per creare tabletop realistici e di impatto? Possiamo quindi emularlo attraverso test di penetrazione e stress test sempre più realistici dei sistemi per consentire a un sofisticato team di hacking etico di aiutare, invece di aspettare quella che è probabilmente una violazione inevitabile in futuro.
Le organizzazioni di audit e le autorità di regolamentazione si aspettano che le aziende eseguano la due diligence sul proprio stack tecnologico e di sicurezza, ma non richiedono ancora il livello di rigore richiesto oggi. Le organizzazioni lungimiranti stanno diventando più sofisticate con i loro test e incorporano i loro esercizi da tavolo di modellazione delle minacce con i loro test di penetrazione e simulazioni degli avversari (chiamati anche test del team rosso). Questo aiuta a garantire che stiano modellando in modo olistico i tipi di minaccia, esercitando la loro probabilità e quindi testando l'efficacia dei loro controlli fisici e tecnici. Team di hacker etici dovrebbe essere in grado di passare da un test di penetrazione rumoroso a una simulazione di avversario più furtivo nel tempo, collaborando con il cliente per adattare l'approccio attorno ad apparecchiature permalose e off-limits, come piattaforme di trading di servizi finanziari o sistemi di gioco da casinò.
Le squadre rosse non sono solo il gruppo offensivo di professionisti che testano le reti di un'azienda; in questi giorni, sono composti da alcuni dei più ricercati esperti informatici che vivono e respirano la tecnologia dietro sofisticati attacchi informatici.
Forti partner di sicurezza offensiva offrono robusti team rossi; le organizzazioni dovrebbero cercare di assicurarsi di poter proteggere e prepararsi per il pericoloso criminale informatico di oggi o l'attore di minaccia dello stato-nazione. Quando si considera un partner per la sicurezza informatica, ci sono alcune cose da considerare.
Questo partner sta cercando di venderti qualcosa o è agnostico?
Un programma di sicurezza informatica legittimo e solido è creato da un team che cerca di dotare la tua organizzazione della tecnologia adatta alle tue circostanze. Non tutte le tecnologie sono valide per tutti e, pertanto, i prodotti non dovrebbero essere consigliati in anticipo, ma dovrebbero essere suggeriti dopo un esame approfondito delle esigenze e dei requisiti unici della tua azienda.
Derivazione di ricerca e sviluppo da dati difensivi
Scopri se il loro team ricerca e sviluppa strumenti e malware personalizzati basati sul più recente rilevamento e risposta degli endpoint e altre difese avanzate. Non esiste un approccio cookie-cutter alla sicurezza informatica, né dovrebbe mai esserci. Gli strumenti utilizzati sia per preparare che per difendere un'organizzazione dagli attacchi informatici avanzati vengono costantemente aggiornati e sfumati per combattere la crescente sofisticazione dei criminali.
Ottieni il meglio
I loro ingegneri della sicurezza offensiva sono veramente del calibro di uno stato nazionale per eludere il rilevamento e mantenere la segretezza, o sono tester di penna basati sulla conformità? In poche parole, hai il team migliore e più esperto che lavora con te? In caso contrario, trova un altro partner.
Controlla la mentalità
Il team conduce con una mentalità di conformità o di prontezza alle minacce? Sebbene le liste di controllo della conformità siano importanti per assicurarti di avere le basi in atto, è proprio questo: una lista di controllo. Le organizzazioni dovrebbero capire di cosa hanno bisogno, oltre alla lista di controllo, per stare al sicuro 24 ore su 7, XNUMX giorni su XNUMX.
In definitiva, trova un partner informatico che ponga le domande difficili e identifichi la più ampia portata di considerazioni durante l'analisi di un programma. Dovrebbe offrire una soluzione offensiva che manterrà la tua organizzazione un passo avanti rispetto ai criminali informatici che continuano ad alzare il livello per la massima resilienza. Vai oltre il test della penna!
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
