私は先日クライアントと電話をしていました.彼女は彼女の会社が最近 侵入テスト ゼロの調査結果で戻ってきました。 彼女が以前にテスト チームと共有した目標に沿った推奨事項はわずかしかありませんでした。
このチームは数年間使用されていたため、彼女はこのチームを信頼していました。 彼らは、彼女が実行されたテストが好きな時期、文書化されたものがどのように好きで、テストをより速く (そしてより安く) できるかを知っていました。 確かに、この毎年恒例の侵入テストでコンプライアンス ボックスがチェックされていましたが、組織は最新のサイバー攻撃のいずれかに対して本当にテストされ、保護されていたのでしょうか? いいえ。どちらかといえば、組織には誤った安心感がありました。
彼女はまた、最近の 卓上運動 (組織のセキュリティに関与する主要な利害関係者が、役割、責任、関連するアクション、および模擬的なサイバー侵害への対応について話し合う侵入テストの部分) は、インシデント対応がランサムウェア用でした。 あなた すべき 以前のテストでまだカバーされていない場合は、ランサムウェアに焦点を当てますが、人間のリスクや内部の脅威はどうですか? 一方、最近の調査結果によると、 サイバー脅威と攻撃の XNUMX 分の XNUMX は、組織外からのものです。, また、パートナーが関与するインシデントは、外部ソースによって引き起こされるインシデントよりもはるかに大きくなる傾向があります。 これらの同じ調査によると、特権のある当事者は、部外者よりも組織に多くの損害を与える可能性があります。
では、現実的な脅威をエミュレートし、ビジネスに最大の損害を与えるリスクが最も高いシステムのストレス テストを行うことができるのに、なぜおざなりな侵入テストを行うのでしょうか? ISAC、CISA、およびその他の脅威レポートからすぐに入手できる洞察を使用して、現実的で影響力のあるテーブルトップを構築することで、組織に対する最も永続的な脅威に注目しないのはなぜですか? 次に、システムの侵入テストとますます現実的なストレステストを通じてそれをエミュレートし、洗練された倫理的ハッキングチームが支援できるようにし、将来のある時点で避けられない可能性が高い違反を待つのではなく.
監査機関と規制当局は、企業が独自の技術とセキュリティ スタックに対してデュー デリジェンスを実行することを期待していますが、現在必要とされているレベルの厳密さはまだ要求していません。 将来を見据えた組織は、テストを行い、脅威モデリングの卓上演習を侵入テストと敵対者シミュレーション (レッド チーム テストとも呼ばれます) に組み込むことで、より洗練されたものになりつつあります。 これにより、脅威の種類を総合的にモデル化し、その可能性を検証し、物理的および技術的な制御の有効性をテストすることができます。 倫理的ハッキングチーム クライアントと協力して、金融サービス取引プラットフォームやカジノゲームシステムなどの扱いにくい機器や立ち入り禁止の機器に関するアプローチを調整しながら、ノイズの多い侵入テストからよりステルスな敵のシミュレーションへと時間をかけて進めることができるはずです。
レッド チームは、企業のネットワークをテストするプロの攻撃的なグループではありません。 最近では、彼らは高度なサイバー攻撃の背後にあるテクノロジーを生きて呼吸する、最も求められているサイバー専門家で構成されています。
強力な攻撃的なセキュリティ パートナーは、強力なレッド チームを提供します。 組織は、今日の危険なサイバー犯罪者または国家の脅威アクターを保護し、備えることができるようにする必要があります。 サイバーセキュリティ パートナーを検討する場合、考慮すべき点がいくつかあります。
このパートナーはあなたに何かを売り込もうとしているのですか、それとも不可知論者ですか?
合法的で堅牢なサイバーセキュリティ プログラムは、お客様の状況に適したテクノロジを組織に装備しようとするチームによって構築されます。 すべてのテクノロジが万能であるとは限らないため、事前に製品を推奨するのではなく、会社のニーズと固有の要件を徹底的に確認した後に製品を提案する必要があります。
防御データから研究開発を導き出す
彼らのチームが、最新のエンドポイントの検出と応答、およびその他の高度な防御に基づいて、カスタム ツールとマルウェアを調査および開発しているかどうかを確認してください。 サイバーセキュリティに対する型にはまったアプローチはありません。 組織を高度なサイバー攻撃に備えて防御するために使用されるツールは、ますます高度化する犯罪者に対抗するために、常にアップグレードされ、微調整されています。
最高のものを手に入れよう
彼らの攻撃的なセキュリティ エンジニアは、検出を回避してステルスを維持する真の国家レベルの能力を持っているのでしょうか、それともコンプライアンス ベースのペン テスターなのでしょうか? 簡単に言えば、最高の、最も経験豊富なチームが一緒に働いていますか? そうでない場合は、別のパートナーを見つけてください。
マインドセットをチェックする
チームは、コンプライアンスの考え方または脅威への備えのいずれかでリードしていますか? コンプライアンス チェックリストは、基本を確実に整備するために重要ですが、それは単なるチェックリストです。 組織は、チェックリストを超えて、24 時間年中無休で安全を維持するために何が必要かを理解する必要があります。
最終的には、難しい質問をし、プログラムを分析する際の考慮事項の最も広い範囲を特定するサイバー パートナーを見つけてください。 これは、最大の回復力の水準を引き上げ続けているサイバー犯罪者の一歩先を行く攻撃的なソリューションを提供する必要があります。 筆記試験を超えろ!
