前几天我和一位客户通电话,她心情很好,与我分享了她公司最近的情况 渗透测试 结果为零。只有少数建议非常符合她之前与测试团队分享的目标。
她信任这个团队,因为他们已经使用了几年;他们知道她什么时候喜欢进行的测试,她如何喜欢记录的事情,并且可以更快(更便宜)地进行测试。当然,这次年度笔测试正在检查合规性框,但该组织是否真正经过测试或受到保护以免受最近的任何网络攻击?不。如果说有什么不同的话,那就是该组织现在有一种错误的安全感。
她还提到,他们最近 桌面运动 (渗透测试的一部分,参与组织安全的主要利益相关者讨论他们的角色、责任及其相关行动和对模拟网络漏洞的响应)事件响应是针对勒索软件的。你 应该 如果之前的测试尚未涵盖勒索软件,那么应该重点关注勒索软件,但是人为风险或内部威胁呢?同时,根据最近的调查结果, 四分之三的网络威胁和攻击来自组织外部, 涉及合作伙伴的事件往往比外部来源引起的事件大得多。根据这些研究,特权团体比外人对组织造成的损害更大。
那么,当我们可以模拟现实威胁并对最有风险的系统进行压力测试以造成最大业务损失时,为什么我们仍然进行敷衍的渗透测试呢?为什么我们不使用 ISAC、CISA 和其他威胁报告中现成的见解来研究组织面临的最持久的威胁,以构建现实且有影响力的桌面?然后,我们可以通过渗透测试和越来越现实的系统压力测试来模拟这一点,让经验丰富的道德黑客团队提供帮助,而不是等待未来某个时候可能不可避免的违规行为。
审计组织和监管机构希望公司对自己的技术和安全堆栈进行尽职调查,但他们仍然没有要求今天所需的严格程度。具有前瞻性的组织在测试方面变得更加复杂,并将威胁建模桌面练习与渗透测试和对手模拟(也称为红队测试)相结合。这有助于确保他们对威胁类型进行整体建模,运用其概率,然后测试其物理和技术控制的有效性。 道德黑客团队 随着时间的推移,应该能够从嘈杂的渗透测试发展到更隐蔽的对手模拟,与客户合作围绕敏感和禁区设备(例如金融服务交易平台或赌场游戏系统)定制方法。
红队不仅仅是由专业人士组成的进攻性团队,对公司的网络进行渗透测试;如今,他们由一些最受欢迎的网络专家组成,他们与复杂的网络攻击背后的技术息息相关。
强大的进攻性安全合作伙伴提供强大的红队;组织应该确保他们能够保护当今危险的网络犯罪或民族国家威胁行为者并为其做好准备。在考虑网络安全合作伙伴时,需要考虑一些事项。
这个合作伙伴是想向你推销什么东西还是不可知论者?
合法且强大的网络安全计划由希望为您的组织配备适合您情况的技术的团队构建。并非所有技术都是一刀切的,因此不应预先推荐产品,而应在彻底审查公司的需求和独特要求后推荐产品。
从防御性数据中进行研发
了解他们的团队是否根据最新的端点检测和响应以及其他高级防御来研究和开发自定义工具和恶意软件。网络安全没有千篇一律的方法,也不应该有。用于准备和保护组织免受高级网络攻击的工具不断升级和细致入微,以打击日益复杂的犯罪分子。
获得最好的
他们的进攻性安全工程师是否真正具有逃避检测和保持隐秘的民族国家能力,或者他们是基于合规性的渗透测试人员?简而言之,您是否拥有最优秀、最有经验的团队与您合作?如果没有,请寻找其他合作伙伴。
检查心态
团队是否以合规心态或威胁准备心态领导?虽然合规性检查表对于确保您掌握基础知识很重要,但它只是一个检查表。组织应该了解,除了清单之外,他们还需要 24/7 保持安全。
最终,找到一个在分析程序时能够提出难题并确定最广泛的考虑因素的网络合作伙伴。它应该提供一种进攻性解决方案,使您的组织领先网络犯罪分子一步,而网络犯罪分子将继续提高最大弹性的标准。超越笔试!
