Тестирование на проникновение является одним из наиболее эффективных методов, помогающих определить степень риска организации. В то время как другие стандартные процессы, такие как оценка пробелов, аудит, анализ архитектуры и управление уязвимостями, предлагают значительную ценность, альтернативы ручному тестированию по-прежнему нет. Если все сделано правильно, это означает, где резина встречается с дорогой, и служит ситуационным барометром для согласования средств защиты с постоянно развивающимися киберугрозами и бюджетными реалиями.
По своей сути ручное тестирование подпадает под эгиду этического хакерства, когда симулированные злоумышленники пытаются выявить и использовать ключевые уязвимости в среде безопасности организации. Получение такой информации выявляет связь между кибер- и бизнес-рисками на фоне быстрого роста числа атак с использованием ИИ, нацеленных на корпоративные сети.
Распространение ChatGPT, например, хорошо задокументировано как изменение правил игры в сфере киберпреступности, демократизирующее передовые тактики, методы и процедуры (TTP), так что обычные злоумышленники могут увеличить количество летальных исходов при низких затратах. Предоставление заурядным хакерам-злоумышленникам возможности постоянно наносить удары выше своей весовой категории будет продолжать увеличивать объем и скорость атак, повышая важность эффективных программ ручного тестирования, которые помогают смягчить серьезные последствия взломов для бизнеса. По данным IBM, в среднем в 2022 году жертвы теряли рекордные 9,4 миллиона долларов за каждое нарушение.
Проблема усугубляется плохим состоянием безопасности в государственном и частном секторах. Исследование этического хакерского поведения, проведенное институтом SANS в 2022 году, «Думай как хакер — взгляды и методы современных злоумышленников» показало, что более 75% респондентов указали, что лишь немногие или некоторые организации имеют эффективные возможности обнаружения сети и реагирования, чтобы остановить атака в реальном времени. Кроме того, почти 50 % заявили, что большинство организаций неспособны обнаруживать и предотвращать уязвимости в облаке и приложениях либо в умеренной, либо в очень высокой степени. Ясно, что необходимо сделать больше, чтобы изменить баланс сил в пользу противников.
Введите тестирование на проникновение, которое может обеспечить непревзойденную контекстуальную осведомленность для улучшения киберзащиты, устранения угроз и процессов восстановления в рамках всеобъемлющей архитектуры управления рисками. Для организаций, внедряющих программы пентестинга в больших масштабах, помните о следующих основных принципах, чтобы добиться максимального эффекта.
Целеустремленное мышление
Чуть более десяти лет назад мой давний коллега и близкий друг Джош Абрахам привел убедительные доводы в пользу более широкого внедрения целенаправленного подхода к пен-тестированию. Он предварил его двумя простыми вопросами: «Что движет пентестерами? Как они узнают, чего хотят, или какой уровень доступа будет демонстрировать самые высокие риски для организации?»
Ответом был четкий набор предопределенных целей, которые не вращались вокруг тактических процессов и технических рабочих процессов, наиболее связанных с тестированием пера в то время. Вопреки распространенному в кругах кибербезопасности мнению, выявление поверхностных уязвимостей не было золотым гуськом этического хакера.
Подожди, правда?
Да, ручное тестирование и оценка уязвимостей — это не две стороны одной медали. В то время как последний статичен и лишен контекста, ручное тестирование предназначено для выявления основных бизнес-рисков путем ручного тестирования защитной позиции организации для кражи данных или достижения уровня несанкционированного доступа. Конечная цель заключается не в выявлении фактических уязвимостей, а скорее в дверях, которые открывают эти уязвимости, и в бизнес-последствиях, когда противник позволяет противнику пройти через них незамеченным.
Перенесемся в сегодняшний день, и целеустремленный подход Абрахама стал основой пентеста. Чтобы этический взлом принес максимальную пользу, необходимо установить заранее определенные цели и структурировать их вокруг наиболее уязвимых областей организации, способных нарушить работу бизнеса, чтобы отразить атаку в наихудшем сценарии. Этичные хакеры нацеливаются на эти области, чтобы измерить уровень киберустойчивости организации, выявив, как очаги уязвимостей с низким уровнем риска могут объединяться, чтобы создать всеобъемлющий сценарий высокого риска, который ставит их бизнес под угрозу, например:
- Для крупного телевизионного провайдера это может быть атака программы-вымогателя, которая отключает транслируемую по национальному телевидению спортивную трансляцию, что приводит к потере миллиардов доходов от рекламы.
- Для завода по очистке воды это может быть атака национального государства, которая загрязняет систему водоснабжения всего города, вызывая кризис общественного здравоохранения.
- Для федерального агентства это может быть инсайдерская угроза, в результате которой разведданные национальной безопасности передаются иностранным противникам с целью получения денежной выгоды.
Независимо от того, что включает в себя сценарий конца света, тестирование на проникновение должно начинаться с четкого понимания конечной цели злоумышленника и того, как это может нанести вред бизнесу. Это единственный реальный способ обнаружить правильные уязвимости в правильном контексте для снижения бизнес-рисков.
Соединение точек уязвимости
По мере того, как с годами границы между кибер- и бизнес-рисками стирались, ручное тестирование стало критически важным компонентом упреждающей приоритизации рисков. Это позволяет организациям получать подробную информацию о степени риска с помощью шкал вероятности и финансовых прогнозов, связанных с различными областями их среды безопасности. Вооруженные этими высокоуровневыми аналитическими данными, директора по информационной безопасности имеют возможность принимать взвешенные решения, сопоставляя бизнес-риск потенциальной атаки с вероятностью того, что она действительно произойдет. Затем они соответствующим образом распределяют ресурсы безопасности, чтобы повысить рентабельность инвестиций и усилить защиту.
Четкое освещение и уверенность, обеспечиваемые ручным тестированием, также помогают демистифицировать сложность ландшафта киберугроз, переводя киберриски в действенные бизнес-термины, которые лучше находят отклик у высшего руководства и совета директоров. Реальные наглядные истории из недавних испытаний на проникновение облегчают руководителям по киберустойчивости формулировку рисков таким образом, чтобы способствовать коллективному участию корпоративного руководства, чтобы гарантировать, что безопасность остается главным организационным приоритетом.
Важно помнить, что независимо от эффективности программы проверки на проникновение всегда будут существовать серые зоны и ненадежные суждения относительно приоритизации рисков. Ручное тестирование помогает гарантировать, что директора по информационной безопасности могут принять максимально обоснованное решение. В противном случае они делают слепой выстрел в темноте в отношении того, каковы их реальные деловые риски.
Железо точит железо
Как кибербезопасность — это командный вид спорта, так и тестирование на проникновение. По сути, программа ручного тестирования применяет целевое нападение — те же TTP, которые используются изощренными злоумышленниками, — чтобы определить, как организации должны строить свою защиту. Ручное тестирование также может быть предшественником упражнений красной команды. Для более зрелых организаций, которые уже регулярно проводят пентестирование, в учениях красной команды участвует красная наступательная команда, а также охотники за угрозами и аналитики центра безопасности в качестве синей оборонительной команды. И, точно так же, как мы все учились в начальной школе и школе кибербезопасности, объединение обоих вместе создает фиолетовый цвет и фиолетовую команду.
Концепция «фиолетового тимбилдинга» часто неверно трактуется. Это не единственная команда экспертов по наступлению и охотников, действующих в унисон. Скорее, в этом контексте это глагол, который описывает, как красные и синие стороны могут сотрудничать для расширения знаний, оттачивания стратегии и повышения операционной эффективности. Хотя на поверхностном уровне это менее очевидно, синий может помочь красному точно так же, как красный помогает синему.
Совместный обмен разведывательными данными, например, дает этическим хакерам дополнительную информацию о том, как были идентифицированы конкретные TTP. Таким образом, красная команда может скорректировать свой подход к следующей попытке, чтобы сделать ее более смертоносной, что, в свою очередь, сделает синюю команду сильнее. Считайте, что это то же самое, что железо, затачивающее железо — в конечном счете, от этого выигрывают все.
Скорость внедрения ИИ по обе стороны разделительной линии кибербезопасности в ближайшее время не замедлится. Злоумышленники с использованием ИИ никуда не денутся, и то, что мы думали, что знали об атаках с использованием ИИ две недели назад, сегодня может быть неактуальным. Эта реальность повышает важность внедрения масштабируемого ручного тестирования в качестве основного компонента арсенала современного директора по информационной безопасности. Фиолетовая команда, приоритизация рисков и четко определенные цели, эффективное тестирование на проникновение и красная команда являются основным источником возможностей для борьбы с враждебными субъектами угроз.
2023-04-14 14:39:00
1681699720
#Ручное #тестирование #на #фоне #роста #числа #злоумышленников #искусственным #интеллектом
