Im Bereich der Informationssicherheit passiert ständig etwas - es entwickelt sich, es erscheinen neue Schutzmittel, die, wenn Sie ihrer Beschreibung glauben, jeder weiß, wie. Kein einziger Hacker kann sie in Ihr Informationssystem eindringen und seine Geschäfte mit dunklen Hackern abschließen. Wenn Sie über moderne SIEM- und Anti-Apt-Lösungen lesen, sind Sie stolz darauf, wie einfach dies in der Welt der Informationssicherheit ist. Stellen Sie einige Geräte und Software für sich selbst ein und Sie werden glücklich sein, ein paar Mitarbeiter einzustellen, um diesen „Zoo“ zu überwachen. "- und im Allgemeinen perfekt. Das denken die meisten Führungskräfte, Sicherheitsadministratoren und Vertriebsleiter über diese sehr neuen Lösungen.
Und im Prinzip ist ein Märchen fast real. Maschinelles Lernen, Integration in die Cloud, ständiges Auffüllen von Signaturen mit Vorfällen - all dies hilft bei der Entwicklung von Sicherheitstools. Da Unternehmen jedoch viel Geld dafür ausgeben, vergessen sie, dass solche Lösungen für ein bestimmtes Informationssystem angepasst werden müssen, dass Standardeinstellungen während eines Angriffs nicht gespeichert werden und dass das Informationssystem nicht im luftleeren Raum funktioniert.
Andere Unternehmen wählen mehr Budgetoptionen für Schutzinstrumente - einmal im Leben werden sie einen Sicherheitsanalysedienst bestellen und glauben, dass jetzt alles in Ordnung mit ihnen ist. Und sie sind sehr empört, wenn etwas passiert! In der Tat wurde alles getan, um das Unternehmen zu sichern. Was ist schief gelaufen?
Der Zweck dieses Artikels ist es, über das Thema Unternehmenssicherheit zu spekulieren und herauszufinden, ob Dienste wie Penetrationstests überhaupt erforderlich sind und warum IS teuer ist.
Nur wenige Lebenssituationen
Also fangen wir an. Die Situation ist ganz normal und vielen vertraut. Von russischen Hackern (und Hackern anderer Nationalitäten) eingeschüchtert, beschließt der Direktor des Unternehmens, eine runde Summe festzulegen und eine Anti-Apt-Lösung in das Informationssystem zu implementieren. Eine Idee, die Respekt verdient. Geld bezahlt, Lösung implementiert, "Jungs" zugewiesen, um auf Vorfälle zu reagieren. Nach Angaben des Anbieters ist alles so eingerichtet, dass es funktioniert, wie sie sagen, "out of the box". Alles ist perfekt. Der Direktor der Firma ist fast im Nirwana, aber dann passiert etwas Schreckliches. Die gekaufte Lösung meldet ständig Angriffe. Ständig. Fast 24/7. Die "Jungs", die auf alle Anrufe und Sorgen der Anti-Apt-Lösung reagieren müssen, sagen, dass nichts Kritisches passiert, aber die Spam-Benachrichtigung über Angriffe geht weiter. Benutzer können nicht normal arbeiten und schlafen beim technischen Support ein. Der Regisseur kann nicht zu den Websites gehen, die er benötigt, und einen interessanten Film herunterladen. Sein Lieblingscomputervirus schlägt in sterbenden Krämpfen. Niemand versteht, was passiert, aber jeder weiß, wer (oder besser gesagt, was) schuld ist. Und es wird eine freiwillige Entscheidung getroffen - eine neue Sache zu trennen, sie bis zu besseren Zeiten in ein Schließfach zu legen. Die Welt blüht wieder auf, Ruhe und gemessener Rhythmus kehren zum Unternehmen zurück. Der Regisseur atmet aus ...
Die zweite Situation ist ebenfalls trivial. Gekaufte Schutzausrüstung scheint sogar mehr oder weniger stabil zu funktionieren, ohne ein Negativ zu verursachen. Und dann beginnen Benachrichtigungen über Vorfälle zu kommen. Die "Jungs", die die SOS-Signale überwachen, versuchen zu antworten, aber sie bekommen es entweder nicht sofort oder es funktioniert überhaupt nicht. Der Schutz erweist sich als nutzlos, wie ein Feueralarm, der nirgendwo angeschlossen ist.
Die dritte Situation ist noch erkennbarer. Der Direktor entscheidet, dass das Unternehmen mit bescheidenen Schutzmitteln „ohne Schnickschnack“ umgehen kann. Um zu überprüfen, ob alles funktioniert, sollten Sie einen Penetrationstest durchführen. Seiner Meinung nach wird der Pentest einmal durchgeführt und garantiert den Schutz des Unternehmens vor Hacking "für den Rest meines Lebens". Penetrationstests wurden durchgeführt, der Bericht wurde verfasst, Lob für die Sicherheitsausrüstung wird gesungen und das Unternehmen wird gehackt. Regisseur wird grau ...
Wahre, vertraute Situationen? Lassen Sie uns herausfinden, warum dies passiert.
Warum ist es so?
Jede Anti-Apt-Lösung, SIEM, ein mehr oder weniger intelligentes Sicherheitstool, erfordert eine spezielle Konfiguration für ein bestimmtes Informationssystem. Unter jedem. Es gibt kein Wundermittel zum Schutz, es gibt keinen "großen Knopf", den ich gedrückt habe - und alles funktioniert sofort, ohne zusätzliche Aktionen.
Jeder weiß, dass es in jedem System falsch positive und falsch negative Antworten gibt. In diesem Fall jeweils falsch positiv - dies ist der Fall, wenn legitime Aktionen im System als Vorfall betrachtet werden, falsch negativ - wenn der Vorfall für legitime Aktionen verwendet wird.
Wie richten Sie die Sicherheitsfunktionen Ihres Unternehmens ein, um die Anzahl der Fehlalarme zu verringern?
Die optimale Lösung besteht darin, vollwertige Penetrationstests mit der "Black Box" -Methode durchzuführen. Idealerweise natürlich Red Team. Absolut perfekt: zuerst ein Pentest zum Stimmen, dann ein rotes Team - um das Blue Team-Team zu überprüfen, noch empfindlicher zu stimmen und zu trainieren, um schnell auf Signale von Schutzausrüstung zu reagieren. So können wir das Problem mit der unzureichend schnellen Reaktion der Mitarbeiter lösen. Eine solche Sequenz führt zwar zu einer runden Summe, die für ein Unternehmen manchmal unerträglich ist.
Penetrationstests? Wirklich? Können uns diese Scannerberichte helfen?Das Hauptproblem bei Penetrationstests besteht darin, dass sie für große Unternehmen zum Mainstream geworden sind. Es ist sinnlos, ein Pentest zu bestellen und einen Bericht darüber zu erhalten, was gefunden wurde, nur weil es "stilvoll, modisch, jugendlich" ist. Wenn Penetrationstests jedoch gut durchgeführt werden und daraus Lehren gezogen werden, ist dies eine sehr nützliche Sache.
Lektion 1. Kohärenz des Incident-Response-Teams und Übertragung von Befugnissen.
Im Falle eines Vorfalls spielt die Reaktionsgeschwindigkeit eine große Rolle. Daher sollte das Blue Team gut koordiniert sein - die Verantwortungsbereiche verstehen und schnell Informationen austauschen. Natürlich ist ein so hohes Maß an Interaktion schwer zu erreichen, aber gut durchgeführte Penetrationstests - die künstliche Erzeugung von Vorfällen, die die Reaktion von Schutzausrüstung hervorrufen - helfen dem Team, die Abfolge der Aktionen und die Besonderheiten der Reaktion in solchen Situationen zu verstehen. Dies bedeutet nicht, dass das Team einfach nach einem bestimmten Muster (für bestimmte Vorfälle) lernt, und es ist betäubt, wenn eine andere Art von Angriff auftritt. In diesem Fall ist es wichtig, das Prinzip der Interaktion selbst zu verstehen, die Verantwortungsbereiche zu bestimmen (nicht theoretisch, sondern „im wirklichen Leben“) und alles lebendig zu fühlen.
Lektion 2. Priorisierung des Unternehmensvermögens.
Es ist klar, dass es Informationen mit unterschiedlichem Grad an Kritikalität gibt, und es ist notwendig, Vermögenswerte zu priorisieren. Um die Aufmerksamkeit abzulenken, greifen Angreifer häufig gleichzeitig verschiedene Unternehmensressourcen an. Es wird eine große Anzahl von Vorfällen erstellt, und das Blaue Team muss kompetent reagieren können - um zu erkennen, welche Angriffe eine Gefahr für kritische Informationen darstellen und welche weißes Rauschen sind. Wenn die anfänglichen Prioritäten nicht oder falsch festgelegt sind, besteht für das Unternehmen das Risiko, auf falsche Vorfälle zu reagieren.
Lektion 3. Testen der Reaktion der Schutzausrüstung und ihrer richtigen Konfiguration.
Durch die Durchführung von Penetrationstests kann das Blue Team besser verstehen, wie die Verteidigung auf einen bestimmten Angreifer reagiert. Wenn beispielsweise ein Benutzerkennwort gesucht und regelmäßig gesperrt wird, ist es wichtig, das Konto nicht nur für einige Zeit zu sperren, sondern auch das Incident-Response-Team darüber zu informieren. Wenn Ihre Schutzausrüstung nicht auf die Aktionen von Pentestern reagiert, müssen diese korrekt konfiguriert sein. Aber engagieren Sie sich nicht, sonst können Benutzer einfach nicht normal arbeiten.
Hier sind wahrscheinlich die drei wichtigsten Lektionen, die Ihnen Penetrationstests beim Lernen helfen. Der Hauptpunkt ist, dass der Pentest nicht „für Papier“ durchgeführt werden sollte, sondern ernsthaft und verantwortungsbewusst. Die ideale Lösung ist Red Team (vollständige Emulation geeigneter Gruppenaktionen). Ehrlich gesagt ist es wirklich eine lange Zeit mit der größtmöglichen Umgehung der Schutzausrüstung. Wie immer muss man für Qualität bezahlen, daher ist diese Art von Service sehr teuer.
Anstelle einer Schlussfolgerung
Aber das Wesentliche dieser Fabel ist: Setzen Sie Ihre Ressourcen mit Bedacht ein. Selbst die teuersten Schutzmaßnahmen können die Sicherheit Ihres Unternehmens nicht gewährleisten, wenn es kein gut koordiniertes Team für die Reaktion auf Vorfälle gibt. Sie benötigen echte Sicherheit, kein Papier, also sollten Sie in ein „ehrliches“ Sicherheitsaudit investieren.