Ik was onlangs aan het bellen met een klant en ze was in een goed humeur toen ze me vertelde dat de recente ontwikkelingen van haar bedrijf penetratie test was met nul bevindingen teruggekomen. Er waren slechts een paar aanbevelingen die goed in lijn waren met de doelstellingen die ze eerder met het testteam had gedeeld.
Ze vertrouwde dit team omdat het al een paar jaar in gebruik was; ze wisten wanneer ze de uitgevoerde tests leuk vond, hoe ze de gedocumenteerde dingen leuk vond, en ze konden sneller (en goedkoper) testen. Zeker, de compliance-box werd gecontroleerd met deze jaarlijkse pentest, maar was de organisatie echt getest of beschermd tegen een van de meest recente cyberaanvallen? Nee. De organisatie had nu in ieder geval een vals gevoel van veiligheid.
Ze zei ook dat hun recente tafelblad oefening (het deel van de penetratietest waarin de belangrijkste belanghebbenden die betrokken zijn bij de beveiliging van de organisatie hun rollen, verantwoordelijkheden en hun gerelateerde acties en reacties op de nep-cyberinbreuk bespreken) voor incidentrespons was voor ransomware. Jij moet wees gefocust op ransomware als dit nog niet is behandeld in eerdere tests, maar hoe zit het met menselijke risico's of bedreigingen van binnenuit? Terwijl volgens recente bevindingen Drie op de vier cyberdreigingen en -aanvallen komen van buiten organisaties, en incidenten waarbij partners betrokken zijn, zijn doorgaans veel groter dan de incidenten die door externe bronnen worden veroorzaakt. Volgens diezelfde onderzoeken kunnen bevoorrechte partijen meer schade aanrichten aan de organisatie dan buitenstaanders.
Dus waarom voeren we nog steeds plichtmatige penetratietesten uit als we realistische bedreigingen kunnen emuleren en de systemen die het meeste risico lopen op stresstesten kunnen testen voor maximale bedrijfsschade? Waarom kijken we niet naar de meest hardnekkige bedreigingen voor een organisatie met behulp van direct beschikbare inzichten uit ISAC, CISA en andere bedreigingsrapporten om realistische en impactvolle tafelbladen te bouwen? We kunnen dat vervolgens nabootsen door middel van penetratietests en steeds realistischere stresstests van systemen, zodat een geavanceerd ethisch hackteam kan helpen, in plaats van te wachten op wat waarschijnlijk een onvermijdelijke inbreuk zal zijn op een bepaald moment in de toekomst.
Auditorganisaties en toezichthouders verwachten dat bedrijven due diligence uitvoeren op hun eigen technologie- en beveiligingsstack, maar ze eisen nog steeds niet het niveau van nauwkeurigheid dat tegenwoordig vereist is. Toekomstgerichte organisaties worden steeds geavanceerder in hun testen en integreren hun tabletop-oefeningen met dreigingsmodellering in hun penetratietesten en tegenstandersimulaties (ook wel red team-testen genoemd). Dit helpt ervoor te zorgen dat ze bedreigingstypen op een holistische manier modelleren, hun waarschijnlijkheid inschatten en vervolgens de effectiviteit van hun fysieke en technische controles testen. Ethische hackteams zou in de loop van de tijd moeten kunnen evolueren van een luidruchtige penetratietest naar een sluipende simulatie van een tegenstander, waarbij hij samen met de klant de aanpak zou afstemmen op gevoelige en verboden apparatuur, zoals handelsplatforms voor financiële diensten of casinospelsystemen.
Rode teams zijn niet alleen de aanvallende groep professionals die de netwerken van een bedrijf testen; Tegenwoordig bestaan ze uit enkele van de meest gewilde cyberexperts die de technologie achter geavanceerde cyberaanvallen leven en ademen.
Sterke offensieve beveiligingspartners bieden robuuste rode teams; Organisaties moeten ervoor zorgen dat ze zich kunnen beschermen tegen en zich kunnen voorbereiden op de huidige gevaarlijke cybercriminelen of nationale dreigingsactoren. Wanneer u een cybersecuritypartner overweegt, zijn er een paar dingen waarmee u rekening moet houden.
Probeert deze partner u iets te verkopen of is hij agnostisch?
Een legitiem en robuust cyberbeveiligingsprogramma wordt gebouwd door een team dat uw organisatie wil uitrusten met de technologie die geschikt is voor uw omstandigheden. Niet alle technologieën zijn one-size-fits-all en daarom mogen producten niet vooraf worden aanbevolen, maar moeten ze worden voorgesteld na een grondige beoordeling van de behoeften en unieke vereisten van uw bedrijf.
R&D afleiden uit defensieve gegevens
Ontdek of hun team aangepaste tools en malware onderzoekt en ontwikkelt op basis van de meest recente eindpuntdetectie en -respons en andere geavanceerde verdedigingsmechanismen. Er bestaat geen kant-en-klare benadering van cyberbeveiliging, en dat zou ook nooit zo moeten zijn. De instrumenten die worden gebruikt om een organisatie voor te bereiden op en te verdedigen tegen geavanceerde cyberaanvallen worden voortdurend geüpgraded en genuanceerd om de toenemende verfijning van de criminelen tegen te gaan.
Krijg het beste
Zijn hun aanvallende beveiligingsingenieurs echt van het nationale kaliber om detectie te omzeilen en stealth te handhaven, of zijn het op compliance gebaseerde pentesters? Simpel gezegd: heeft u het beste, meest ervaren team dat met u samenwerkt? Zo niet, zoek dan een andere partner.
Controleer de mentaliteit
Leidt het team met een compliance-mentaliteit of met een mentaliteit die gereed is voor bedreigingen? Hoewel nalevingscontrolelijsten belangrijk zijn om ervoor te zorgen dat u over de basis beschikt, is het precies dat: een checklist. Organisaties moeten begrijpen wat ze, naast de checklist, nodig hebben om 24/7 veilig te blijven.
Zoek uiteindelijk een cyberpartner die de lastige vragen stelt en de breedste reikwijdte van overwegingen identificeert bij het analyseren van een programma. Het moet een offensieve oplossing bieden waarmee uw organisatie de cybercriminelen die de lat steeds hoger leggen voor maximale weerbaarheid een stap voor blijft. Ga verder dan de pentest!
