Além do Pen Test: como se proteger contra cibercriminosos sofisticados

Outro dia, eu estava em uma ligação com uma cliente e ela estava de ótimo humor ao compartilhar comigo que a recente mudança de sua empresa teste de penetração voltou com zero descobertas. Houve apenas algumas recomendações que estavam de acordo com os objetivos que ela havia compartilhado anteriormente com a equipe de testes.

Ela confiava nessa equipe, pois ela já era usada há alguns anos; eles sabiam quando ela gostava dos testes realizados, como ela gostava das coisas documentadas e podiam testar mais rápido (e mais barato). Certamente, a caixa de conformidade estava sendo verificada com este pen test anual, mas a organização foi realmente testada ou protegida contra algum dos ataques cibernéticos mais recentes? Não. Na verdade, a organização agora tinha uma falsa sensação de segurança.

Ela também mencionou que seu recente exercício de mesa (a parte do teste de penetração em que as principais partes interessadas envolvidas na segurança da organização discutem suas funções, responsabilidades e suas ações e respostas relacionadas à simulação de violação cibernética) para resposta a incidentes foi para ransomware. Você rede de apoio social concentre-se em ransomware se ele ainda não tiver sido abordado em testes anteriores, mas e quanto ao risco humano ou ameaça interna? Embora, de acordo com descobertas recentes, três em cada quatro ameaças e ataques cibernéticos vêm de fora das organizações, e os incidentes envolvendo parceiros tendem a ser muito maiores do que aqueles causados ​​por fontes externas. De acordo com esses mesmos estudos, as partes privilegiadas podem causar mais danos à organização do que as pessoas de fora.

Então, por que ainda fazemos testes de penetração superficiais quando podemos emular ameaças realistas e testar a resistência dos sistemas com maior risco de causar danos máximos aos negócios? Por que não estamos analisando as ameaças mais persistentes a uma organização usando insights prontamente disponíveis do ISAC, CISA e outros relatórios de ameaças para construir tabelas realistas e impactantes? Podemos então imitar isso por meio de testes de penetração e testes de estresse cada vez mais realistas de sistemas para permitir que uma equipe sofisticada de hackers éticos ajude, em vez de esperar pelo que provavelmente será uma violação inevitável em algum momento no futuro.

As organizações de auditoria e os reguladores esperam que as empresas realizem a devida diligência na sua própria pilha de tecnologia e segurança, mas ainda não exigem o nível de rigor que é exigido hoje. As organizações voltadas para o futuro estão se tornando mais sofisticadas em seus testes e incorporando seus exercícios de mesa de modelagem de ameaças em seus testes de penetração e simulações de adversários (também chamados de testes de equipe vermelha). Isso ajuda a garantir que eles modelem holisticamente os tipos de ameaças, exercitando suas probabilidades e, em seguida, testando a eficácia de seus controles físicos e técnicos. Equipes de hackers éticos deve ser capaz de progredir de um teste de penetração barulhento para uma simulação de adversário mais furtiva ao longo do tempo, trabalhando com o cliente para adaptar a abordagem em torno de equipamentos delicados e fora dos limites, como plataformas de negociação de serviços financeiros ou sistemas de jogos de cassino.

As equipes vermelhas não são apenas o grupo ofensivo de profissionais que testam as redes de uma empresa; hoje em dia, eles são formados por alguns dos especialistas cibernéticos mais requisitados que vivem e respiram a tecnologia por trás de ataques cibernéticos sofisticados.

Fortes parceiros de segurança ofensiva oferecem equipes vermelhas robustas; as organizações devem procurar garantir que possam proteger e se preparar para os perigosos cibercriminosos ou atores de ameaças do Estado-nação de hoje. Ao considerar um parceiro de segurança cibernética, há algumas coisas a considerar.

Este parceiro está tentando vender algo para você ou é agnóstico?

Um programa de segurança cibernética legítimo e robusto é desenvolvido por uma equipe que busca equipar sua organização com a tecnologia certa para suas circunstâncias. Nem todas as tecnologias são de tamanho único e, portanto, os produtos não devem ser recomendados antecipadamente, mas devem ser sugeridos após uma análise completa das necessidades e requisitos exclusivos da sua empresa.

Derivando P&D de dados defensivos

Descubra se sua equipe pesquisa e desenvolve ferramentas personalizadas e malware com base na mais recente detecção e resposta de endpoint e outras defesas avançadas. Não existe uma abordagem padronizada para a segurança cibernética, nem deveria existir. As ferramentas utilizadas para preparar e defender uma organização contra ataques cibernéticos avançados são constantemente atualizadas e diferenciadas para combater a crescente sofisticação dos criminosos.

Obtenha o melhor

Seus engenheiros de segurança ofensiva são realmente do calibre do estado-nação para evitar a detecção e manter a discrição, ou são pen testers baseados em conformidade? Simplificando, você tem a melhor e mais experiente equipe trabalhando com você? Se não, encontre outro parceiro.

Verifique a mentalidade

A equipe lidera com uma mentalidade de conformidade ou de prontidão para ameaças? Embora as listas de verificação de conformidade sejam importantes para garantir que você tenha o básico em vigor, elas são apenas isso: uma lista de verificação. As organizações devem compreender o que, além da lista de verificação, precisam para se manterem seguras 24 horas por dia, 7 dias por semana.

Em última análise, encontre um parceiro cibernético que faça as perguntas difíceis e identifique o escopo mais amplo de considerações ao analisar um programa. Deve oferecer uma solução ofensiva que manterá a sua organização um passo à frente dos cibercriminosos que continuam a elevar o nível de resiliência máxima. Vá além do pen test!