Geçen gün bir müşteriyle telefondaydım ve şirketinin son zamanlardaki olayını benimle paylaştığında harika bir ruh halindeydi. penetrasyon testi sıfır bulguyla geri dönmüştü. Daha önce test ekibiyle paylaştığı hedeflerle tamamen uyumlu olan yalnızca birkaç öneri vardı.
Birkaç yıldır kullanıldıkları için bu ekibe güveniyordu; yapılan testleri ne zaman beğendiğini, belgelenen şeyleri ne kadar beğendiğini ve daha hızlı (ve daha ucuz) test yapabileceğini biliyorlardı. Elbette uyumluluk kutusu bu yıllık kalem testiyle kontrol ediliyordu, ancak kuruluş gerçekten en son siber saldırılardan herhangi birine karşı test edildi mi veya korundu mu? Hayır. Aslında organizasyon artık sahte bir güvenlik duygusuna sahipti.
Ayrıca son zamanlarda yaptıklarından da bahsetti. masaüstü egzersizi (Sızma testinin, kuruluşun güvenliğiyle ilgili kilit paydaşların rollerini, sorumluluklarını ve ilgili eylemlerini ve sahte siber ihlale yönelik yanıtlarını tartıştıkları kısmı) olaya müdahale fidye yazılımı içindi. Sen meli Daha önceki testlerde ele alınmamışsa fidye yazılımına odaklanılmalıdır, peki ya insan riski veya içeriden gelen tehdit? Ancak son bulgulara göre, Dört siber tehdit ve saldırıdan üçü kuruluşların dışından geliyor, ve ortakların karıştığı olaylar, dış kaynakların neden olduğu olaylardan çok daha büyük olma eğilimindedir. Aynı çalışmalara göre, ayrıcalıklı taraflar kuruluşa dışarıdakilerden daha fazla zarar verebilir.
Peki, gerçekçi tehditleri taklit etmek ve maksimum iş zararı için en fazla risk altında olan sistemlere stres testi yapmak varken neden hâlâ baştan savma penetrasyon testleri yapıyoruz? Gerçekçi ve etkili masaüstü bilgisayarlar oluşturmak için ISAC, CISA ve diğer tehdit raporlarından kolayca elde edilebilen bilgileri kullanarak neden bir kuruluşa yönelik en kalıcı tehditlere bakmıyoruz? Daha sonra, gelecekte bir noktada muhtemelen kaçınılmaz bir ihlalin gerçekleşmesini beklemek yerine, gelişmiş bir etik hackleme ekibinin yardım etmesine izin vermek için penetrasyon testleri ve sistemlerin giderek daha gerçekçi hale gelen stres testleri yoluyla bunu taklit edebiliriz.
Denetim kuruluşları ve düzenleyiciler, şirketlerin kendi teknoloji ve güvenlik yığınları üzerinde gerekli özeni göstermelerini bekliyor, ancak hâlâ günümüzün gerektirdiği düzeyde titizliğe ihtiyaç duymuyorlar. İleriye dönük kuruluşlar, testleriyle daha karmaşık hale geliyor ve tehdit modelleme masa üstü alıştırmalarını penetrasyon testleri ve rakip simülasyonlarıyla (kırmızı takım testi olarak da adlandırılıyor) birleştiriyor. Bu, tehdit türlerini bütünsel olarak modellemelerine, olasılıklarını değerlendirmelerine ve ardından fiziksel ve teknik kontrollerinin etkinliğini test etmelerine yardımcı olur. Etik hack ekipleri Finansal hizmetler ticaret platformları veya kumarhane oyun sistemleri gibi hassas ve sınır dışı ekipmanlara yönelik yaklaşımı uyarlamak için müşteriyle birlikte çalışarak gürültülü bir sızma testinden zaman içinde daha gizli bir rakip simülasyonuna ilerleyebilmelidir.
Kırmızı takımlar yalnızca bir şirketin ağlarını test eden saldırgan profesyonellerden oluşan bir grup değildir; Bugünlerde bu ekip, karmaşık siber saldırıların ardındaki teknolojiyi yaşayıp soluyan, en çok aranan siber uzmanlardan oluşuyor.
Güçlü saldırı güvenliği ortakları güçlü kırmızı ekipler sunar; Kuruluşlar, günümüzün tehlikeli siber suçlularını veya ulus devlet tehdit aktörlerini koruyabilmelerini ve bunlara karşı hazırlanabilmelerini sağlamanın yollarını aramalıdır. Bir siber güvenlik ortağı seçerken dikkate alınması gereken birkaç nokta vardır.
Bu Ortak Size Bir Şey Satmaya mı Çalışıyor Yoksa Agnostik mi?
Meşru ve sağlam bir siber güvenlik programı, kuruluşunuzu koşullarınıza uygun teknolojiyle donatmayı amaçlayan bir ekip tarafından oluşturulur. Tüm teknolojiler herkese uygun tek çözüm değildir ve bu nedenle ürünler önceden tavsiye edilmemeli, şirketinizin ihtiyaçları ve benzersiz gereksinimleri kapsamlı bir şekilde incelendikten sonra önerilmelidir.
Savunma Verilerinden Ar-Ge Elde Etme
Ekiplerinin, en yeni uç nokta algılama ve yanıt ve diğer gelişmiş savunmalara dayalı olarak özel araçlar ve kötü amaçlı yazılımlar araştırıp geliştirip geliştirmediğini öğrenin. Siber güvenliğe yönelik çerez kesici bir yaklaşım yoktur ve hiçbir zaman da olmamalıdır. Bir kuruluşu gelişmiş siber saldırılara karşı hem hazırlamak hem de savunmak için kullanılan araçlar, suçluların artan karmaşıklığıyla mücadele etmek için sürekli olarak yükseltilmekte ve ince ayrıntılara kavuşturulmaktadır.
En iyisini al
Saldırgan güvenlik mühendisleri, tespitten kaçma ve gizliliği koruma konusunda gerçekten ulus devlet düzeyinde kapasiteye sahip mi, yoksa uyumluluğa dayalı kalem testçileri mi? Basitçe söylemek gerekirse, sizinle çalışan en iyi, en deneyimli ekibe sahip misiniz? Değilse başka bir ortak bulun.
Zihniyeti Kontrol Edin
Ekip uyumluluk zihniyetiyle mi yoksa tehdide hazır olma zihniyetiyle mi liderlik ediyor? Uyumluluk kontrol listeleri temel bilgilere sahip olduğunuzdan emin olmak için önemli olsa da, tam da bu: bir kontrol listesi. Kuruluşlar, kontrol listesinin ötesinde 24/7 güvende kalmak için neye ihtiyaç duyduklarını anlamalıdır.
Sonuçta, bir programı analiz ederken zor soruları soracak ve dikkate alınması gereken en geniş kapsamı belirleyecek bir siber ortak bulun. Kuruluşunuzu, maksimum dayanıklılık konusunda çıtayı yükseltmeye devam eden siber suçlulardan bir adım önde tutacak saldırgan bir çözüm sunmalıdır. Kalem testinin ötesine geçin!
