حسناً ، أختك

في مجال أمن المعلومات ، يحدث شيء باستمرار - إنه يتطور ، تظهر وسائل جديدة للحماية ، والتي ، إذا كنت تعتقد أن وصفها ، يعرف الجميع كيف. لا يمكن لأي متسلل واحد اختراقها في نظام المعلومات الخاص بك وإجراء صفقات هاكر مظلمة. عندما تقرأ عن حلول SIEM الحديثة والحلول المضادة ، فإنك تفخر بمدى بساطتها في عالم أمن المعلومات - ضع بعض الأدوات والبرامج لنفسك وستكون سعيدًا ، قم بتوظيف اثنين من الموظفين لمراقبة هذه "حديقة الحيوان" "- والكمال بشكل عام. هذا ما يفكر فيه معظم المديرين التنفيذيين للأعمال ، ومسؤولي الأمن ، ومديري المبيعات بهذه الحلول الحديثة للغاية.

ومن حيث المبدأ ، فإن الحكاية الخيالية تكاد تكون حقيقية. التعلم الآلي ، والتكامل مع السحابة ، والتجديد المستمر للتوقيعات بحوادث الحوادث - كل هذا يساعد بشكل جيد في تطوير أدوات الأمان. ولكن ، مع التخلي عن الكثير من المال لهذا ، تنسى الشركات أن مثل هذه الحلول تحتاج إلى تخصيصها لنظام معلومات معين ، وأن الإعدادات الافتراضية لن توفرها أثناء الهجوم ، وأن نظام المعلومات لا يعمل في فراغ.
تختار الشركات الأخرى المزيد من خيارات الميزانية لأدوات الحماية - مرة واحدة في العمر ستطلب خدمة تحليل الأمان وتعتقد أن كل شيء على ما يرام الآن معها. وهم ساخطون جدا عندما يحدث شيء! في الواقع ، تم عمل كل شيء لتأمين الشركة. ما الخطأ الذي حدث؟

الغرض من هذه المقالة هو التكهن بشأن موضوع أمن الشركة ، وأيضًا معرفة ما إذا كانت هناك حاجة إلى خدمات مثل اختبار الاختراق على الإطلاق ، ولماذا يعد IS باهظ الثمن.

مواقف الحياة قليلة

لذلك دعونا نبدأ. الوضع عادي جدا ومألوف للكثيرين. يخشى من قبل المتسللين الروس (والمتسللين من جنسيات أخرى) ، يقرر مدير الشركة تحديد مبلغ مستدير وتنفيذ حل مضاد للاندلاع في نظام المعلومات. فكرة تستحق الاحترام. الأموال المدفوعة ، الحل الذي تم تنفيذه ، تم تعيين "أولاد" للاستجابة للحوادث. وفقًا للمورد ، يتم إعداد كل شيء بحيث يعمل ، كما يقولون ، "خارج الصندوق". كل شيء على ما يرام. مدير الشركة يكاد يكون في السكينة ، ولكن بعد ذلك يحدث شيء فظيع. يبدأ الحل الذي تم شراؤه في الإبلاغ عن الهجمات باستمرار. باستمرار. ما يقرب من 24/7. ويقول "الأولاد" ، الذين يجب أن يستجيبوا لجميع مكالمات ومخاوف الحل المناهض ، إنه لا يوجد شيء حرج يحدث ، لكن الإخطار غير المرغوب فيه عن الهجمات مستمر. لا يمكن للمستخدمين العمل بشكل طبيعي والنوم في شكاوى الدعم الفني. لا يمكن للمخرج الذهاب إلى المواقع التي يحتاجها ، تنزيل فيلم مثير للاهتمام ، فيروس الكمبيوتر المفضل لديه يتغلب على التشنجات الميتة. لا أحد يفهم ما يحدث ، لكن الجميع يعرفون من (أو بالأحرى ، ما) هو المسؤول. ويتم اتخاذ قرار إجباري - لفصل شيء جديد ، ووضعه في خزانة حتى أوقات أفضل. يزدهر العالم مرة أخرى ، ويعود الهدوء والإيقاع المقيس إلى الشركة. المخرج ينفث ...

والحالة الثانية تافهة أيضًا. تم شراء معدات الحماية ، حتى يبدو أنها تعمل بشكل أكثر أو أقل بثبات ، دون التسبب في سلبية. ثم تبدأ إشعارات الحوادث في الظهور. يحاول "الأولاد" الذين يراقبون إشارات SOS الاستجابة ، لكنهم إما لا يحصلون عليها على الفور ، أو أنها لا تعمل على الإطلاق. اتضح أن الحماية عديمة الفائدة ، مثل إنذار الحريق غير المتصل في أي مكان.


الحالة الثالثة ، يمكن التعرف عليها أكثر. يقرر المدير أن الشركة يمكن أن تفعل مع وسائل الحماية المتواضعة ، "لا رتوش" ، والتحقق مما إذا كان كل شيء يعمل ، يجب عليك إجراء اختبار الاختراق. في رأيه ، يتم تنفيذ pentest مرة واحدة ويضمن حماية الشركة من القرصنة "لبقية حياتي". تم إجراء اختبار الاختراق ، وكتابة التقرير ، وغناء المديح للمعدات الأمنية ، ويتم اختراق الشركة. المدير يتحول إلى اللون الرمادي ...

المواقف المألوفة؟ دعونا نكتشف سبب حدوث ذلك.

لماذا هو كذلك

يتطلب أي حل مضاد للاستجابة ، SIEM ، أداة أمنية أكثر أو أقل ذكاءً تكوينًا خاصًا لنظام معلومات معين. تحت كل. لا توجد وسائل معجزة للحماية ، ولا يوجد "زر كبير" ضغطت عليه - وكل شيء يعمل على الفور ، دون أي إجراءات إضافية.

يعلم الجميع أنه في أي نظام هناك ردود إيجابية كاذبة وسلبية كاذبة. في هذه الحالة ، على التوالي ، إيجابية كاذبة - هذا عندما يتم اتخاذ أي إجراءات مشروعة في النظام على أنها حادثة ، سلبية كاذبة - عندما يتم اتخاذ الحادث من أجل إجراءات مشروعة.

إذن كيف يمكنك إعداد ميزات الأمان الخاصة بشركتك لتقليل عدد الإيجابيات الخاطئة؟
الحل الأمثل هو إجراء اختبار اختراق كامل باستخدام طريقة "الصندوق الأسود". من الناحية المثالية بالطبع ، الفريق الأحمر. مثالي تمامًا: أولاً هو أعلى وقت للتوليف ، ثم فريق أحمر - للتحقق ، وضبط وتدريب أكثر حساسية لفريق الفريق الأزرق للاستجابة بسرعة للإشارات من معدات الحماية. وبالتالي ، يمكننا حل المشكلة من خلال رد الفعل السريع غير الكافي للموظفين. صحيح أن مثل هذا التسلسل يُترجم إلى مبلغ دائري ، أحيانًا لا يطاق لشركة.

اختبار الاختراق؟ حقاً؟ هل يمكن أن تساعدنا تقارير الماسحات الضوئية هذه؟

المشكلة الرئيسية في اختبار الاختراق هي أنه أصبح سائدًا للشركات الكبيرة. من غير المجدي طلب مكانة والحصول على تقرير عما تم العثور عليه لمجرد أنه "أنيق ، عصري ، شبابي". ولكن إذا تم اختبار الاختراق بشكل جيد وتم تعلم الدروس منه ، فهذا أمر مفيد للغاية.

الدرس 1. تماسك فريق الاستجابة للحوادث وتفويض السلطة.

في حالة وقوع حادث ، تلعب سرعة الاستجابة دورًا كبيرًا. لذلك ، يجب أن يكون الفريق الأزرق منسقًا جيدًا - فهم مجالات المسؤولية وتبادل المعلومات بسرعة. بالطبع ، من الصعب تحقيق مثل هذا المستوى العالي من التفاعل ، ولكن اختبار الاختراق الذي تم إجراؤه جيدًا - الإنشاء الاصطناعي للحوادث التي تثير رد فعل معدات الحماية - يساعد الفريق على فهم تسلسل الإجراءات وتفاصيل الاستجابة في مثل هذه المواقف. هذا لا يعني أن الفريق يتعلم ببساطة وفقًا لنمط معين (لحوادث معينة) ولديه ذهول إذا حدث نوع آخر من الهجوم. في هذه الحالة ، من المهم فهم مبدأ التفاعل نفسه ، وتحديد مجالات المسؤولية (ليس من الناحية النظرية ، ولكن "في الحياة الواقعية") والشعور بأن كل شيء يعيش.

الدرس 2. تحديد أولويات أصول الشركة.

من الواضح أن هناك معلومات بدرجات متفاوتة من الأهمية ، ومن الضروري تحديد أولويات الأصول. لتحويل الانتباه ، غالبًا ما يقوم المهاجمون بهجمات متزامنة على موارد الشركة المختلفة. يتم إنشاء عدد كبير من الحوادث ، ويجب أن يكون الفريق الأزرق كفؤًا في الاستجابة - إدراك الهجمات التي تشكل خطرًا على المعلومات الهامة وأيها ضجيج أبيض. إذا لم يتم تحديد الأولويات الأولية أو تم تعيينها بشكل غير صحيح ، فإن الشركة تتعرض لخطر الاستجابة للحوادث الخاطئة.


الدرس 3. اختبار استجابة معدات الحماية وتكوينها الصحيح.

يساعد إجراء اختبار الاختراق الفريق الأزرق على فهم كيفية استجابة الدفاعات لمهاجم معين. على سبيل المثال ، إذا تم البحث عن كلمة مرور مستخدم وتم حظرها بشكل دوري ، فمن المهم ليس فقط حظر الحساب لبعض الوقت ، ولكن أيضًا لإخطار فريق الاستجابة للحوادث بشأنه. إذا كانت معدات الحماية الخاصة بك لا تستجيب لأفعال pentesters ، فيجب تكوينها بشكل صحيح. ولكن لا تتدخل ، وإلا فلن يتمكن المستخدمون ببساطة من العمل بشكل طبيعي.

هنا ربما تكون الدروس الرئيسية الثلاثة التي يساعدك اختبار الاختراق على تعلمها. النقطة الرئيسية هي أنه لا ينبغي أن يتم تنفيذ pentest "للورق" ، ولكن بجدية ومسؤولية. الحل المثالي هو Red Team (محاكاة كاملة لأفعال المجموعة المناسبة). إنها حقًا فترة طويلة ، بصدق ، مع أقصى قدر ممكن من التحايل على معدات الحماية. كما هو الحال دائمًا - يجب عليك الدفع مقابل الجودة ، لذا فإن هذا النوع من الخدمة باهظ الثمن.

بدلا من الاستنتاج

لكن جوهر هذا الخرافة هو: استخدم مواردك بحكمة. حتى أغلى وسائل الحماية لن تكون قادرة على ضمان أمن شركتك إذا لم يكن هناك فريق استجابة للحوادث منسق بشكل جيد. أنت بحاجة إلى أمان حقيقي ، وليس ورقة ، لذلك يجب أن تستثمر في تدقيق أمني "صادق".