Помимо проверки на проникновение: как защититься от изощренных киберпреступников

На днях я разговаривал с клиенткой, и она была в прекрасном настроении, когда поделилась со мной недавним тест на проникновение вернулся с нулевым результатом. Было лишь несколько рекомендаций, которые хорошо соответствовали целям, которыми она ранее поделилась с командой тестирования.

Она доверяла этой команде, поскольку они использовались в течение нескольких лет; они знали, когда ей нравилось проведенное тестирование, как ей нравились документированные вещи, и они могли тестировать быстрее (и дешевле). Конечно, этот ежегодный пен-тест проверял соответствие требованиям, но была ли организация действительно проверена или защищена от какой-либо из последних кибератак? Нет. Во всяком случае, у организации теперь было ложное чувство безопасности.

Она также упомянула, что их недавнее настольные упражнения (часть теста на проникновение, где ключевые заинтересованные стороны, участвующие в обеспечении безопасности организации, обсуждают свои роли, обязанности и связанные с ними действия и ответы на имитацию кибератаки) для реагирования на инциденты были для программ-вымогателей. Ты должен сосредоточиться на программах-вымогателях, если они еще не были охвачены предыдущим тестированием, но как насчет человеческого риска или внутренней угрозы? В то время как, согласно последним данным, три из четырех киберугроз и атак исходят из-за пределов организаций, и инциденты с участием партнеров, как правило, намного крупнее, чем инциденты, вызванные внешними источниками. Согласно тем же исследованиям, привилегированные стороны могут нанести организации больший ущерб, чем аутсайдеры.

Итак, почему мы до сих пор проводим формальное тестирование на проникновение, когда мы можем эмулировать реальные угрозы и проводить стресс-тестирование систем, наиболее подверженных риску для максимального ущерба для бизнеса? Почему мы не рассматриваем наиболее устойчивые угрозы для организации, используя легкодоступную аналитическую информацию из ISAC, CISA и других отчетов об угрозах для создания реалистичных и эффективных таблиц? Затем мы можем подражать этому с помощью тестирования на проникновение и все более реалистичного стресс-тестирования систем, чтобы позволить опытной команде этичных хакеров помочь, вместо того, чтобы ждать того, что, вероятно, станет неизбежным взломом в какой-то момент в будущем.

Аудиторские организации и регулирующие органы ожидают, что компании будут проводить комплексную проверку своих собственных технологий и систем безопасности, но они по-прежнему не требуют того уровня строгости, который требуется сегодня. Перспективные организации становятся все более изощренными в своем тестировании и объединении своих кабинетных упражнений по моделированию угроз с тестированием на проникновение и моделированием злоумышленников (также называемым тестированием красной команды). Это помогает гарантировать, что они целостно моделируют типы угроз, оценивают их вероятность, а затем проверяют эффективность своих физических и технических средств контроля. Этические хакерские команды должны быть в состоянии перейти от шумного теста на проникновение к более незаметному моделированию противника с течением времени, работая с клиентом, чтобы адаптировать подход к уязвимому и закрытому оборудованию, такому как платформы для торговли финансовыми услугами или игровые системы казино.

Красные команды — это не просто наступательная группа профессионалов, тестирующих сети компании; в наши дни они состоят из одних из самых востребованных киберэкспертов, которые живут и дышат технологией, стоящей за изощренными кибератаками.

Сильные наступательные партнеры по безопасности предлагают надежные красные команды; организациям следует убедиться, что они могут защитить и подготовиться к сегодняшнему опасному киберпреступнику или национальному государству. При рассмотрении вопроса о партнере по кибербезопасности необходимо учитывать несколько моментов.

Этот партнер пытается продать вам что-то или это агностик?

Легальная и надежная программа кибербезопасности создается командой, стремящейся оснастить вашу организацию технологиями, подходящими для ваших обстоятельств. Не все технологии подходят для всех, поэтому продукты не следует рекомендовать заранее, а следует предлагать после тщательного анализа потребностей и уникальных требований вашей компании.

Получение НИОКР из оборонных данных

Узнайте, занимается ли их команда исследованиями и разработкой пользовательских инструментов и вредоносных программ на основе самых последних обнаружений конечных точек и реагирования на них, а также других передовых средств защиты. Не существует шаблонного подхода к кибербезопасности и никогда не должно быть. Инструменты, используемые как для подготовки, так и для защиты организации от продвинутых кибератак, постоянно совершенствуются и дорабатываются для борьбы с растущей изощренностью преступников.

Получите лучшее

Являются ли их наступательные инженеры по безопасности действительно масштабом национального государства, чтобы избежать обнаружения и поддерживать скрытность, или они являются пен-тестерами, основанными на соблюдении нормативных требований? Проще говоря, с вами работает самая лучшая, самая опытная команда? Если нет, найдите другого партнера.

Проверьте мышление

Руководит ли команда мышлением соблюдения требований или готовностью к угрозам? Хотя контрольные списки соответствия важны для обеспечения наличия основ, это всего лишь контрольный список. Организации должны понимать, что, помимо контрольного списка, им необходимо для обеспечения безопасности в режиме 24/7.

В конечном счете, найдите киберпартнера, который будет задавать сложные вопросы и определять наиболее широкий спектр соображений при анализе программы. Он должен предлагать наступательное решение, которое будет держать вашу организацию на шаг впереди киберпреступников, которые продолжают поднимать планку максимальной устойчивости. Выйдите за рамки теста пера!