0
0
Eu estava em uma ligação com um cliente outro dia e ela estava de ótimo humor ao compartilhar comigo que o teste de penetração recente de sua empresa havia retornado com zero descobertas. Havia apenas algumas recomendações que estavam bem alinhadas com os objetivos que ela havia compartilhado anteriormente com a equipe de testes.
Ela confiava nessa equipe, pois eles eram usados há alguns anos; eles sabiam quando ela gostava do teste realizado, como ela gostava das coisas documentadas e podia testar mais rápido (e mais barato). Certamente, a caixa de conformidade estava sendo verificada com este pen test anual, mas a organização foi realmente testada ou protegida contra qualquer um dos ataques cibernéticos mais recentes? Não. No mínimo, a organização agora tinha uma falsa sensação de segurança.
Ela também mencionou que seu recente exercício de mesa (a parte do teste de penetração em que as principais partes interessadas envolvidas na segurança da organização discutem suas funções, responsabilidades e suas ações e respostas relacionadas à violação cibernética simulada) para resposta a incidentes foi para ransomware. Você deve se concentrar no ransomware se ele ainda não tiver sido coberto em testes anteriores, mas e o risco humano ou a ameaça interna? Embora, de acordo com descobertas recentes, três em cada quatro ameaças e ataques cibernéticos sejam provenientes de fora das organizações ,e incidentes envolvendo parceiros tendem a ser muito maiores do que aqueles causados por fontes externas. De acordo com esses mesmos estudos, partidos privilegiados podem causar mais danos à organização do que pessoas de fora.
Então, por que ainda estamos fazendo testes de penetração superficiais quando podemos emular ameaças realistas e testar os sistemas com maior risco de dano máximo aos negócios? Por que não estamos analisando as ameaças mais persistentes para uma organização usando insights prontamente disponíveis do ISAC, CISA e outros relatórios de ameaças para criar tabelas realistas e impactantes? Podemos então emular isso por meio de testes de penetração e testes de estresse de sistemas cada vez mais realistas para permitir que uma equipe sofisticada de hackers éticos ajude, em vez de esperar pelo que provavelmente é uma violação inevitável em algum momento no futuro.
As organizações de auditoria e os reguladores esperam que as empresas realizem a devida diligência em sua própria pilha de tecnologia e segurança, mas ainda não exigem o nível de rigor exigido hoje. As organizações voltadas para o futuro estão se tornando mais sofisticadas com seus testes e incorporando seus exercícios de mesa de modelagem de ameaças com seus testes de penetração e simulações de adversários (também chamados de testes de equipe vermelha). Isso ajuda a garantir que eles estejam modelando holisticamente os tipos de ameaças, exercitando sua probabilidade e testando a eficácia de seus controles físicos e técnicos. Equipes de hackers éticosdeve ser capaz de progredir de um teste de penetração barulhento para uma simulação de adversário mais furtiva ao longo do tempo, trabalhando com o cliente para adaptar a abordagem em torno de equipamentos delicados e fora dos limites, como plataformas de negociação de serviços financeiros ou sistemas de jogos de cassino.
As equipes vermelhas não são apenas o grupo ofensivo de profissionais testando as redes de uma empresa; hoje em dia, eles são compostos por alguns dos especialistas cibernéticos mais procurados que vivem e respiram a tecnologia por trás de ataques cibernéticos sofisticados.
Parceiros de segurança ofensiva fortes oferecem equipes vermelhas robustas; as organizações devem procurar garantir que possam proteger e se preparar para os perigosos criminosos cibernéticos de hoje ou atores de ameaças de estados-nações. Ao considerar um parceiro de segurança cibernética, há algumas coisas a considerar.
Este parceiro está tentando vender algo ou é agnóstico?
Um programa de segurança cibernética legítimo e robusto é criado por uma equipe que busca equipar sua organização com a tecnologia certa para suas circunstâncias. Nem todas as tecnologias são de tamanho único e, portanto, os produtos não devem ser recomendados antecipadamente, mas devem ser sugeridos após uma análise completa das necessidades e requisitos exclusivos de sua empresa.
Derivando P&D de Dados Defensivos
Descubra se a equipe deles pesquisa e desenvolve ferramentas e malware personalizados com base na detecção e resposta de endpoint mais recente e em outras defesas avançadas. Não existe uma abordagem mesquinha para a segurança cibernética, nem deveria existir. As ferramentas usadas para preparar e defender uma organização contra ataques cibernéticos avançados são constantemente atualizadas e aprimoradas para combater a crescente sofisticação dos criminosos.
Obtenha o melhor
Seus engenheiros de segurança ofensivos são realmente do calibre de um estado-nação para evitar a detecção e manter a discrição, ou são testadores de caneta baseados em conformidade? Simplificando, você tem a melhor e mais experiente equipe trabalhando com você? Se não, encontre outro parceiro.
Verifique a mentalidade
A equipe lidera com uma mentalidade de conformidade ou de prontidão para ameaças? Embora as listas de verificação de conformidade sejam importantes para garantir que você tenha o básico, é apenas isso: uma lista de verificação. As organizações devem entender o que, além da lista de verificação, elas precisam para se manterem seguras 24 horas por dia, 7 dias por semana.
Por fim, encontre um parceiro cibernético que faça as perguntas difíceis e identifique o escopo mais amplo de considerações ao analisar um programa. Ele deve oferecer uma solução ofensiva que manterá sua organização um passo à frente dos cibercriminosos que continuam a elevar o nível de resiliência máxima. Vá além do teste da caneta!
FONTE: DARK READING