Hôm nọ, tôi đang gọi điện cho một khách hàng và cô ấy đang có tâm trạng rất vui khi chia sẻ với tôi rằng công ty của cô ấy gần đây đã kiểm tra sự xâm nhập đã trở lại với kết quả bằng không. Chỉ có một số đề xuất phù hợp với mục tiêu mà cô ấy đã chia sẻ trước đó với nhóm thử nghiệm.
Cô ấy tin tưởng đội này vì họ đã được sử dụng trong một vài năm; họ biết khi nào cô ấy thích thử nghiệm được thực hiện, cô ấy thích những thứ được ghi lại như thế nào và có thể thử nghiệm nhanh hơn (và rẻ hơn). Chắc chắn, hộp tuân thủ đã được kiểm tra bằng bài kiểm tra bút hàng năm này, nhưng tổ chức có thực sự được kiểm tra hoặc bảo vệ trước bất kỳ cuộc tấn công mạng nào gần đây nhất không? Không. Nếu có bất cứ điều gì, tổ chức bây giờ đã có một cảm giác an toàn sai lầm.
Cô ấy cũng đề cập rằng gần đây họ bài tập trên bàn (phần của thử nghiệm thâm nhập trong đó các bên liên quan chính liên quan đến bảo mật của tổ chức thảo luận về vai trò, trách nhiệm cũng như các hành động và phản ứng liên quan của họ đối với vi phạm mạng giả) để ứng phó sự cố là dành cho mã độc tống tiền. Bạn nên tập trung vào phần mềm tống tiền nếu nó chưa được đề cập trong thử nghiệm trước đó, nhưng còn rủi ro con người hoặc mối đe dọa nội bộ thì sao? Trong khi, theo những phát hiện gần đây, ba trong số bốn mối đe dọa và tấn công mạng đến từ bên ngoài tổ chức, và các sự cố liên quan đến các đối tác có xu hướng lớn hơn nhiều so với các sự cố do các nguồn bên ngoài gây ra. Cũng theo những nghiên cứu đó, các bên có đặc quyền có thể gây thiệt hại cho tổ chức nhiều hơn so với bên ngoài.
Vì vậy, tại sao chúng ta vẫn thực hiện thử nghiệm thâm nhập chiếu lệ khi chúng ta có thể mô phỏng các mối đe dọa thực tế và thử nghiệm căng thẳng các hệ thống có nguy cơ gây thiệt hại kinh doanh tối đa? Tại sao chúng ta không xem xét các mối đe dọa dai dẳng nhất đối với một tổ chức bằng cách sử dụng thông tin chi tiết có sẵn từ ISAC, CISA và các báo cáo về mối đe dọa khác để xây dựng các mặt bàn thực tế và có tác động? Sau đó, chúng tôi có thể mô phỏng điều đó thông qua thử nghiệm thâm nhập và thử nghiệm căng thẳng ngày càng thực tế của các hệ thống để cho phép một nhóm hack đạo đức tinh vi trợ giúp, thay vì chờ đợi những gì có khả năng vi phạm không thể tránh khỏi vào một thời điểm nào đó trong tương lai.
Các tổ chức kiểm toán và cơ quan quản lý mong muốn các công ty thực hiện thẩm định đối với hệ thống bảo mật và công nghệ của riêng họ, nhưng họ vẫn không yêu cầu mức độ nghiêm ngặt như hiện nay. Các tổ chức hướng tới tương lai đang trở nên phức tạp hơn với thử nghiệm của họ và kết hợp các bài tập lập mô hình mối đe dọa trên bàn với thử nghiệm thâm nhập và mô phỏng đối thủ (còn gọi là thử nghiệm đội đỏ). Điều này giúp đảm bảo rằng họ đang lập mô hình tổng thể về các loại mối đe dọa, thực hiện xác suất của chúng và sau đó kiểm tra hiệu quả của các biện pháp kiểm soát vật lý và kỹ thuật của họ. Đội hack đạo đức sẽ có thể phát triển từ thử nghiệm xâm nhập ồn ào sang mô phỏng đối thủ lén lút hơn theo thời gian, làm việc với khách hàng để điều chỉnh cách tiếp cận xung quanh các thiết bị nhạy cảm và vượt quá giới hạn, chẳng hạn như nền tảng giao dịch dịch vụ tài chính hoặc hệ thống trò chơi sòng bạc.
Các đội đỏ không chỉ là nhóm tấn công gồm các chuyên gia kiểm tra mạng của công ty; ngày nay, họ được tạo thành từ một số chuyên gia mạng được săn lùng nhiều nhất, những người sống và hít thở công nghệ đằng sau các cuộc tấn công mạng tinh vi.
Các đối tác an ninh tấn công mạnh mẽ cung cấp các đội đỏ mạnh mẽ; các tổ chức nên tìm cách đảm bảo rằng họ có thể bảo vệ và chuẩn bị cho tác nhân đe dọa quốc gia hoặc tội phạm mạng nguy hiểm ngày nay. Khi xem xét một đối tác an ninh mạng, có một số điều cần cân nhắc.
Đối tác này đang cố gắng bán cho bạn thứ gì đó hay nó không thể tin được?
Một chương trình an ninh mạng mạnh mẽ và hợp pháp được xây dựng bởi một nhóm đang tìm cách trang bị cho tổ chức của bạn công nghệ phù hợp với hoàn cảnh của bạn. Không phải tất cả các công nghệ đều có một kích cỡ phù hợp với tất cả và do đó, các sản phẩm không nên được đề xuất trước mà nên được đề xuất sau khi xem xét kỹ lưỡng các nhu cầu và yêu cầu riêng của công ty bạn.
Bắt nguồn R&D từ dữ liệu phòng thủ
Tìm hiểu xem nhóm của họ có nghiên cứu và phát triển các công cụ tùy chỉnh cũng như phần mềm độc hại dựa trên khả năng phát hiện và phản hồi điểm cuối gần đây nhất cũng như các biện pháp bảo vệ nâng cao khác hay không. Không có phương pháp cắt cookie nào đối với an ninh mạng, và cũng không bao giờ nên có. Các công cụ được sử dụng để chuẩn bị và bảo vệ một tổ chức chống lại các cuộc tấn công mạng tiên tiến liên tục được nâng cấp và cải tiến để chống lại sự tinh vi ngày càng tăng của bọn tội phạm.
Lấy cái tốt nhất
Các kỹ sư an ninh tấn công của họ có thực sự có tầm cỡ quốc gia để tránh bị phát hiện và duy trì khả năng tàng hình hay họ là những người kiểm tra bút dựa trên sự tuân thủ? Nói một cách đơn giản, bạn có đội ngũ giỏi nhất, giàu kinh nghiệm nhất làm việc với mình không? Nếu không, hãy tìm một đối tác khác.
Kiểm tra tư duy
Nhóm có lãnh đạo với tư duy tuân thủ hay tư duy sẵn sàng đối mặt với mối đe dọa không? Mặc dù danh sách kiểm tra tuân thủ rất quan trọng để đảm bảo bạn có những điều cơ bản, nhưng nó chỉ là: một danh sách kiểm tra. Các tổ chức nên hiểu những gì, ngoài danh sách kiểm tra, họ cần giữ an toàn 24/7.
Cuối cùng, hãy tìm một đối tác mạng sẽ hỏi những câu hỏi khó và xác định phạm vi cân nhắc rộng nhất khi phân tích một chương trình. Nó sẽ đưa ra một giải pháp tấn công giúp tổ chức của bạn đi trước một bước so với tội phạm mạng đang tiếp tục nâng cao khả năng phục hồi tối đa. Đi xa hơn bài kiểm tra bút!
