הייתי בשיחה עם לקוחה לפני כמה ימים והיא הייתה במצב רוח מעולה כשהיא שיתפה אותי שהחברה שלה לאחרונה מבחן חדירה חזר עם אפס ממצאים. היו רק כמה המלצות שהתאימו היטב ליעדים ששיתפה בעבר עם צוות הבדיקות.
היא בטחה בצוות הזה כפי שהם היו בשימוש במשך כמה שנים; הם ידעו מתי היא אוהבת את הבדיקה שבוצעה, איך היא אוהבת דברים מתועדים ויכולה לבדוק מהר יותר (וזול יותר). אין ספק, תיבת התאימות נבדקה עם מבחן העט השנתי הזה, אבל האם הארגון באמת נבדק או מוגן מפני כל אחת מהתקפות הסייבר האחרונות? לא. אם כבר, לארגון הייתה כעת תחושת ביטחון מזויפת.
היא גם הזכירה כי לאחרונה תרגיל שולחן (החלק של מבחן החדירה שבו מחזיקי עניין מרכזיים המעורבים באבטחת הארגון דנים בתפקידיהם, אחריותם ופעולותיהם ותגובותיהם הקשורות לפרצת הסייבר המדומה) עבור התגובה לאירועים הייתה עבור תוכנת כופר. אתה צריך להיות ממוקד בתוכנת כופר אם היא עדיין לא כוסתה בבדיקות קודמות, אבל מה לגבי סיכון אנושי או איום פנימי? בעוד שלפי הממצאים האחרונים, שלושה מתוך ארבעה איומים והתקפות סייבר מגיעים מחוץ לארגונים, ותקריות בהן מעורבים שותפים נוטים להיות גדולים בהרבה מאלה שנגרמו על ידי מקורות חיצוניים. לפי אותם מחקרים, צדדים מיוחסים עלולים להזיק לארגון יותר מאשר זרים.
אז למה אנחנו עדיין מבצעים בדיקות חדירה שוטפות כשאנחנו יכולים לחקות איומים מציאותיים ולבדוק את המערכות שנמצאות בסיכון הגבוה ביותר לנזק עסקי מרבי? מדוע איננו בוחנים את האיומים המתמשכים ביותר על ארגון באמצעות תובנות זמינות מ- ISAC, CISA ודוחות איומים אחרים כדי לבנות שולחנות ריאליים ובעלי השפעה? לאחר מכן נוכל לחקות זאת באמצעות בדיקות חדירה ובדיקות מאמץ מציאותיות יותר ויותר של מערכות, כדי לאפשר לצוות פריצה אתי מתוחכם לעזור, לעומת המתנה למה שכנראה הפרה בלתי נמנעת בשלב מסוים בעתיד.
ארגוני ביקורת ורגולטורים מצפים מחברות לבצע בדיקת נאותות על ערימת הטכנולוגיה והאבטחה שלהן, אך הם עדיין לא דורשים את רמת הקפדנות הנדרשת כיום. ארגונים צופים פני עתיד הופכים מתוחכמים יותר עם הבדיקות שלהם ומשלבים את תרגילי מודל האיומים שלהם עם בדיקות החדירה שלהם וסימולציות היריב (נקראות גם בדיקות צוות אדום). זה עוזר להבטיח שהם מבצעים מודלים הוליסטיים של סוגי איומים, מפעילים את ההסתברות שלהם, ואז בודקים את היעילות של הבקרה הפיזית והטכנית שלהם. צוותי פריצה אתיים צריך להיות מסוגל להתקדם ממבחן חדירה רועש לסימולציית יריב חמקנית יותר לאורך זמן, תוך עבודה עם הלקוח כדי להתאים את הגישה סביב ציוד נוגע ובלתי מוגבל, כגון פלטפורמות מסחר לשירותים פיננסיים או מערכות משחקי קזינו.
צוותים אדומים הם לא רק הקבוצה ההתקפית של אנשי מקצוע הבודקים את הרשתות של החברה; כיום, הם מורכבים מכמה ממומחי הסייבר המבוקשים ביותר שחיים ונושמים את הטכנולוגיה שמאחורי מתקפות סייבר מתוחכמות.
שותפי אבטחה התקפיים חזקים מציעים צוותים אדומים חזקים; ארגונים צריכים לחפש כדי להבטיח שהם יכולים להגן ולהתכונן לגורם המסוכן של פושעי הסייבר או מדינת הלאום של היום. כאשר בוחנים שותף לאבטחת סייבר, יש כמה דברים שכדאי לקחת בחשבון.
האם השותף הזה מנסה למכור לך משהו או שהוא אגנוסטי?
תוכנית אבטחת סייבר לגיטימית וחזקה נבנית על ידי צוות המחפש לצייד את הארגון שלך בטכנולוגיה המתאימה לנסיבות שלך. לא כל הטכנולוגיות מתאימות לכולם, ולכן אין להמליץ מראש על מוצרים, אלא יש להציע אותם לאחר סקירה מעמיקה של צרכי החברה והדרישות הייחודיות.
גזירת מו"פ מנתונים הגנתיים
גלה אם הצוות שלהם חוקר ומפתח כלים מותאמים אישית ותוכנות זדוניות על סמך הזיהוי והתגובה העדכניים ביותר של נקודות הקצה והגנות מתקדמות אחרות. אין גישה חותכת עוגיות לאבטחת סייבר, וגם לא צריכה להיות. הכלים המשמשים הן להכנה והן להגן על ארגון מפני התקפות סייבר מתקדמות עוברים כל הזמן שדרוג וניואנסים כדי להילחם בתחכום ההולך וגובר של הפושעים.
להשיג את הכי טוב
האם מהנדסי האבטחה ההתקפיים שלהם הם באמת קליבר של מדינה לאומית כדי להתחמק מגילוי ולשמור על התגנבות, או שהם בודקי עטים מבוססי ציות? במילים פשוטות, האם יש לך את הצוות הטוב והמנוסה ביותר שעובד איתך? אם לא, מצא שותף אחר.
בדוק את הלך הרוח
האם הצוות מוביל עם חשיבה של ציות או מוכנות לאיום? בעוד שרשימות בדיקה לציות חשובות כדי להבטיח שיש לך את היסודות, זה בדיוק זה: רשימת בדיקה. ארגונים צריכים להבין מה, מעבר לרשימת הבדיקה, שהם צריכים כדי להישאר בטוחים 24/7.
בסופו של דבר, מצא שותף סייבר שישאל את השאלות הקשות ויזהה את טווח השיקולים הרחב ביותר בעת ניתוח תוכנית. הוא אמור להציע פתרון התקפי שישאיר את הארגון שלך צעד אחד לפני פושעי הסייבר שממשיך להעלות את הרף לחוסן מירבי. מעבר למבחן העט!
