Днями я спілкувався з клієнткою, і вона була в чудовому настрої, коли поділилася зі мною, що її компанія нещодавно тест на проникнення повернувся з нульовими висновками. Було лише кілька рекомендацій, які цілком відповідали цілям, якими вона раніше поділилася з командою тестування.
Вона довіряла цій команді, оскільки вони використовувалися протягом кількох років; вони знали, коли їй подобається проведене тестування, як їй подобається, що все задокументовано, і могли тестувати швидше (і дешевше). Безумовно, відповідність перевірялася за допомогою цього щорічного тесту пера, але чи справді організація була перевірена чи захищена від будь-якої з останніх кібератак? Ні. У будь-якому випадку організація тепер мала помилкове відчуття безпеки.
Вона також зазначила, що їхні останні настільна вправа (частина тесту на проникнення, де ключові зацікавлені сторони, задіяні в безпеці організації, обговорюють свої ролі, обов’язки та відповідні дії та відповіді на імітацію кіберзлому) для реагування на інциденти стосувалося програм-вимагачів. ви Повинен бути зосередженим на програмах-вимагачах, якщо вони ще не розглядалися в попередньому тестуванні, але як щодо людського ризику чи внутрішньої загрози? Хоча, згідно з останніми висновками, три з чотирьох кіберзагроз і атак походять ззовні організацій, а інциденти за участю партнерів, як правило, набагато більші, ніж ті, що викликані зовнішніми джерелами. Відповідно до тих самих досліджень, привілейовані сторони можуть завдати організації більше шкоди, ніж аутсайдери.
Отже, чому ми все ще проводимо поверхневе тестування на проникнення, коли ми можемо імітувати реалістичні загрози та стрес-тестувати системи, які піддаються найбільшому ризику, щоб максимально завдати шкоди бізнесу? Чому ми не розглядаємо найстійкіші загрози для організації, використовуючи доступну інформацію з ISAC, CISA та інших звітів про загрози, щоб створити реалістичні та ефективні настільні комп’ютери? Потім ми можемо імітувати це за допомогою тестування на проникнення та все більш реалістичного стрес-тестування систем, щоб дозволити досвідченій групі етичних хакерів допомогти, а не чекати того, що, ймовірно, неминуче зламається в якийсь момент у майбутньому.
Аудиторські організації та регулятори очікують від компаній належної перевірки власних технологій і систем безпеки, але вони все ще не вимагають того рівня суворості, який потрібен сьогодні. Прогнозні організації стають все більш складними завдяки тестуванню та поєднанню настільних вправ із моделювання загроз із тестуванням на проникнення та симуляцією противника (також називається тестуванням червоної команди). Це допомагає переконатися, що вони цілісно моделюють типи загроз, перевіряють їхню ймовірність, а потім перевіряють ефективність своїх фізичних і технічних засобів контролю. Команди етичних хакерів повинні мати можливість переходити від галасливого тесту на проникнення до більш прихованої симуляції супротивника з часом, працюючи з клієнтом, щоб адаптувати підхід до чутливого та забороненого обладнання, такого як торгові платформи фінансових послуг або ігрові системи казино.
Червоні команди — це не просто наступальна група професіоналів, які перевіряють мережі компанії; сьогодні вони складаються з одних із найбільш затребуваних кіберекспертів, які живуть і впроваджують технології, що стоять за складними кібератаками.
Сильні партнери з безпеки в наступі пропонують надійні червоні команди; організаціям слід забезпечити захист і підготовку до сучасних небезпечних кіберзлочинців або загроз для національної держави. Розглядаючи партнера з кібербезпеки, слід враховувати кілька речей.
Цей партнер намагається вам щось продати чи агностик?
Законна та надійна програма кібербезпеки створена командою, яка прагне оснастити вашу організацію технологією, яка підходить для ваших обставин. Не всі технології є універсальними, тому продукти не слід рекомендувати заздалегідь, а слід пропонувати після ретельного аналізу потреб вашої компанії та унікальних вимог.
Виведення НДДКР із захисних даних
Дізнайтеся, чи їхня команда досліджує та розробляє спеціальні інструменти та зловмисне програмне забезпечення на основі останнього виявлення кінцевих точок і реагування на них, а також інших передових засобів захисту. Підходу до кібербезпеки не існує, і ніколи не повинно бути. Інструменти, які використовуються як для підготовки, так і для захисту організації від прогресивних кібератак, постійно вдосконалюються та вдосконалюються для боротьби зі зростаючою витонченістю злочинців.
Отримайте найкраще
Чи є їхні інженери безпеки справді національного калібру, щоб уникати виявлення та підтримувати скритність, чи вони перевіряють перо на основі відповідності? Простіше кажучи, з вами працює найкраща, найдосвідченіша команда? Якщо ні, знайдіть іншого партнера.
Перевірте мислення
Команда очолює комплаєнс чи готовність до загроз? Хоча контрольні списки відповідності важливі для того, щоб переконатися, що у вас є основи, це просто: контрольний список. Організації повинні розуміти, що, окрім контрольного списку, їм потрібно для забезпечення безпеки 24/7.
Зрештою, знайдіть кібер-партнера, який ставитиме складні запитання та виділить найширший спектр міркувань під час аналізу програми. Він має запропонувати агресивне рішення, яке дозволить вашій організації бути на крок попереду кіберзлочинців, які продовжують піднімати планку максимальної стійкості. Вийдіть за рамки проби пера!
