Jeg var på telefon med en klient her om dagen, og hun var i godt humør da hun fortalte meg at selskapet hennes nylig penetrasjonstest hadde kommet tilbake med null funn. Det var bare noen få anbefalinger som var godt i tråd med målene hun tidligere hadde delt med testteamet.
Hun stolte på dette laget ettersom de hadde vært brukt i noen år; de visste når hun likte testingen som ble utført, hvordan hun likte ting dokumentert, og kunne teste raskere (og billigere). Helt klart ble samsvarsboksen sjekket med denne årlige pennetesten, men ble organisasjonen virkelig testet eller beskyttet mot noen av de siste nettangrepene? Nei. Om noe hadde organisasjonen nå en falsk følelse av trygghet.
Hun nevnte også at deres siste bordøvelse (den delen av penetrasjonstesten der sentrale interessenter involvert i sikkerheten til organisasjonen diskuterer sine roller, ansvar og deres relaterte handlinger og svar på det falske cyberbruddet) for hendelsesrespons var for løsepengevare. Du bør være fokusert på løsepengevare hvis den ikke allerede har blitt dekket i tidligere tester, men hva med menneskelig risiko eller innsidetrussel? Mens, ifølge nylige funn, tre av fire cybertrusler og -angrep kommer fra utenfor organisasjoner, og hendelser som involverer partnere har en tendens til å være mye større enn de som er forårsaket av eksterne kilder. I følge de samme studiene kan privilegerte parter gjøre mer skade på organisasjonen enn utenforstående.
Så hvorfor gjør vi fortsatt overfladisk penetrasjonstesting når vi kan etterligne realistiske trusler og stressteste systemene som er mest utsatt for maksimal skade på virksomheten? Hvorfor ser vi ikke på de mest vedvarende truslene mot en organisasjon ved å bruke lett tilgjengelig innsikt fra ISAC, CISA og andre trusselrapporter for å bygge realistiske og virkningsfulle bordplater? Vi kan deretter etterligne det gjennom penetrasjonstesting og stadig mer realistisk stresstesting av systemer for å tillate et sofistikert etisk hacking-team å hjelpe, kontra å vente på det som sannsynligvis er et uunngåelig brudd på et tidspunkt i fremtiden.
Revisjonsorganisasjoner og regulatorer forventer at selskaper utfører due diligence på sin egen teknologi- og sikkerhetsstabel, men de krever fortsatt ikke det strenge nivået som kreves i dag. Fremtidsrettede organisasjoner blir mer sofistikerte med sine tester og inkorporerer sine trusselmodellerende bordøvelser med sine penetrasjonstesting og motstanders simuleringer (også kalt red team testing). Dette bidrar til å sikre at de holistisk modellerer trusseltyper, utøver sannsynligheten deres, og deretter tester effektiviteten til deres fysiske og tekniske kontroller. Etiske hacking-team bør være i stand til å gå fra en støyende penetrasjonstest til en snikende motstandersimulering over tid, og samarbeide med klienten for å skreddersy tilnærmingen rundt ømfintlig utstyr, for eksempel handelsplattformer for finansielle tjenester eller kasinospillsystemer.
Røde team er ikke bare den offensive gruppen av fagfolk som tester et selskaps nettverk; i disse dager består de av noen av de mest ettertraktede cyberekspertene som lever og ånder teknologien bak sofistikerte cyberangrep.
Sterke offensive sikkerhetspartnere tilbyr robuste røde team; organisasjoner bør se etter å sikre at de kan beskytte og forberede seg på dagens farlige nettkriminelle eller nasjonalstatlige trusselaktør. Når du vurderer en cybersikkerhetspartner, er det et par ting du bør vurdere.
Prøver denne partneren å selge deg noe eller er den agnostisk?
Et legitimt og robust nettsikkerhetsprogram er bygget av et team som ønsker å utstyre organisasjonen din med teknologien som passer for dine omstendigheter. Ikke alle teknologier er én størrelse som passer alle, og derfor bør ikke produkter anbefales på forhånd, men bør foreslås etter en grundig gjennomgang av bedriftens behov og unike krav.
Utlede FoU fra defensive data
Finn ut om teamet deres undersøker og utvikler tilpassede verktøy og skadelig programvare basert på den nyeste endepunktdeteksjonen og -responsen og andre avanserte forsvar. Det er ingen cookie-cutter-tilnærming til cybersikkerhet, og det burde det heller aldri være. Verktøyene som brukes til å både forberede og forsvare en organisasjon mot avanserte cyberangrep blir stadig oppgradert og nyansert for å bekjempe kriminelles økende sofistikering.
Få det beste
Er deres offensive sikkerhetsingeniører virkelig nasjonalstatlig kaliber for å unngå oppdagelse og opprettholde stealth, eller er de compliance-baserte pennetestere? Enkelt sagt, har du det beste og mest erfarne teamet som jobber med deg? Hvis ikke, finn en annen partner.
Sjekk tankegangen
Leder teamet med en compliance-tankegang eller en med trusselberedskap? Selv om sjekklister for samsvar er viktige for å sikre at du har det grunnleggende på plass, er det nettopp det: en sjekkliste. Organisasjoner bør forstå hva, utover sjekklisten, de trenger for å være trygge 24/7.
Til slutt, finn en cyberpartner som vil stille de vanskelige spørsmålene og identifisere det bredeste omfanget av hensyn når du analyserer et program. Det bør tilby en offensiv løsning som vil holde organisasjonen et skritt foran de nettkriminelle som fortsetter å heve standarden for maksimal motstandskraft. Gå utover pennetesten!
