Jag var på ett samtal med en kund häromdagen och hon var på bra humör när hon berättade för mig att hennes företag nyligen Penetrationstest hade kommit tillbaka med noll fynd. Det fanns bara ett fåtal rekommendationer som var väl i linje med de mål som hon tidigare hade delat med testteamet.
Hon litade på detta team eftersom de hade använts i några år; de visste när hon gillade testerna som utfördes, hur hon gillade saker dokumenterade och kunde testa snabbare (och billigare). Visst kontrollerades efterlevnadsrutan med detta årliga penntest, men var organisationen verkligen testad eller skyddad mot någon av de senaste cyberattackerna? Nej. Om något hade organisationen nu en falsk känsla av säkerhet.
Hon nämnde också att deras senaste bordsövning (den del av penetrationstestet där nyckelintressenter involverade i organisationens säkerhet diskuterar sina roller, ansvar och deras relaterade handlingar och svar på det falska cyberintrånget) för incidentrespons gällde ransomware. Du skall fokusera på ransomware om det inte redan har täckts i tidigare tester, men hur är det med mänsklig risk eller insiderhot? Medan, enligt de senaste rönen, tre av fyra cyberhot och attacker kommer utifrån organisationer, och incidenter som involverar partners tenderar att vara mycket större än de som orsakas av externa källor. Enligt samma studier kan privilegierade parter göra mer skada på organisationen än utomstående.
Så varför gör vi fortfarande slentrianmässiga penetrationstester när vi kan efterlikna realistiska hot och stresstesta de system som löper störst risk för maximal affärsskada? Varför tittar vi inte på de mest ihållande hoten mot en organisation med hjälp av lättillgängliga insikter från ISAC, CISA och andra hotrapporter för att bygga realistiska och effektfulla bordsskivor? Vi kan sedan efterlikna det genom penetrationstester och allt mer realistiska stresstester av system för att tillåta ett sofistikerat etiskt hackingteam att hjälpa, kontra att vänta på vad som troligen är ett oundvikligt intrång någon gång i framtiden.
Revisionsorganisationer och tillsynsmyndigheter förväntar sig att företag ska utföra due diligence på sin egen teknik- och säkerhetsstapel, men de kräver fortfarande inte den rigoritet som krävs idag. Framåtblickande organisationer blir mer sofistikerade med sina tester och införlivar sina bordsövningar för hotmodellering med sina penetrationstester och motståndarsimuleringar (även kallade red team-testning). Detta hjälper till att säkerställa att de holistiskt modellerar hottyper, utövar sin sannolikhet och sedan testar effektiviteten av deras fysiska och tekniska kontroller. Etiska hackningsteam ska kunna gå från ett bullrigt penetrationstest till en smygande motståndssimulering över tid, och arbeta med kunden för att skräddarsy tillvägagångssättet kring känslig och otillräcklig utrustning, såsom handelsplattformar för finansiella tjänster eller kasinospelsystem.
Röda team är inte bara den offensiva gruppen av proffs som testar ett företags nätverk; nuförtiden består de av några av de mest eftertraktade cyberexperterna som lever och andas tekniken bakom sofistikerade cyberattacker.
Starka offensiva säkerhetspartners erbjuder robusta röda team; Organisationer bör se till att se till att de kan skydda och förbereda sig för dagens farliga cyberkriminella eller nationalstatliga hotaktör. När du överväger en cybersäkerhetspartner finns det några saker att tänka på.
Försöker den här partnern sälja dig något eller är den agnostisk?
Ett legitimt och robust cybersäkerhetsprogram byggs av ett team som vill utrusta din organisation med den teknik som är rätt för dina omständigheter. Alla teknologier är inte enstaka, och därför bör produkter inte rekommenderas i förväg utan bör föreslås efter en noggrann genomgång av ditt företags behov och unika krav.
Härleda FoU från defensiva data
Ta reda på om deras team undersöker och utvecklar anpassade verktyg och skadlig programvara baserat på den senaste slutpunktsdetekteringen och -svaret och andra avancerade försvar. Det finns ingen cookie-cutter inställning till cybersäkerhet, och det borde det aldrig finnas. Verktygen som används för att både förbereda och försvara en organisation mot avancerade cyberattacker uppgraderas och nyanseras ständigt för att bekämpa brottslingarnas ökande sofistikering.
Få det bästa
Är deras offensiva säkerhetsingenjörer verkligen nationalstatliga kaliber för att undvika upptäckt och upprätthålla smyg, eller är de efterlevnadsbaserade penntestare? Enkelt uttryckt, har du det bästa och mest erfarna teamet som arbetar med dig? Om inte, hitta en annan partner.
Kontrollera tankesättet
Leder teamet med ett efterlevnadstänk eller ett hotberedskap? Även om checklistor för efterlevnad är viktiga för att säkerställa att du har grunderna på plats, är det bara det: en checklista. Organisationer bör förstå vad, utöver checklistan, de behöver för att vara säkra 24/7.
I slutändan, hitta en cyberpartner som kommer att ställa de svåra frågorna och identifiera den bredaste omfattningen av överväganden när du analyserar ett program. Det bör erbjuda en offensiv lösning som kommer att hålla din organisation ett steg före de cyberbrottslingar som fortsätter att höja ribban för maximal motståndskraft. Gå bortom penntestet!
