En el campo de la seguridad de la información, algo sucede constantemente: se está desarrollando, aparecen nuevos medios de protección que, si cree en su descripción, todos saben cómo hacerlo. Ningún pirata informático puede atravesarlos en su sistema de información y hacer negocios oscuros. Cuando lees sobre SIEM y las soluciones anti-apt modernas, te enorgulleces de lo simple que es en el mundo de la seguridad de la información: pon algunos gadgets y software para ti y estarás contento, contrata a un par de empleados para monitorear este "zoológico" "- y generalmente perfecto. Eso es lo que la mayoría de los ejecutivos de negocios, administradores de seguridad y gerentes de ventas piensan de estas soluciones muy novedosas.
Y, en principio, un cuento de hadas es casi real. El aprendizaje automático, la integración con la nube, la reposición constante de firmas con incidentes de incidentes, todo esto ayuda bien en el desarrollo de herramientas de seguridad. Pero, regalando mucho dinero para esto, las empresas olvidan que tales soluciones deben personalizarse para un sistema de información específico, que la configuración predeterminada no se guardará durante un ataque, que el sistema de información no funciona en el vacío.
Otras compañías eligen más opciones presupuestarias para herramientas de protección: una vez en la vida pedirán un servicio de análisis de seguridad y creen que ahora todo está bien con ellas. ¡Y están muy indignados cuando sucede algo! De hecho, todo se hizo para asegurar la empresa. ¿Qué salió mal?
El propósito de este artículo es especular sobre el tema de la seguridad de la compañía, y también descubrir si los servicios como las pruebas de penetración son necesarios y por qué el IS es costoso.
Pocas situaciones de la vida.
Entonces comencemos. La situación es bastante común y familiar para muchos. Intimidado por los piratas informáticos rusos (y los piratas informáticos de otras nacionalidades), el director de la empresa decide establecer una suma redonda e implementar una solución anti-apto en el sistema de información. Una idea digna de respeto. Dinero pagado, solución implementada, "niños" asignados para responder a incidentes. Según el proveedor, todo está configurado para que funcione, como dicen, "listo para usar". Todo es perfecto El director de la compañía está casi en el nirvana, pero luego sucede algo terrible. La solución comprada comienza a informar ataques constantemente. Constantemente Casi 24/7. Los "muchachos", que deben responder a todas las llamadas y preocupaciones de la solución anti-apt, dicen que no ocurre nada crítico, pero la notificación de ataques no deseados continúa. Los usuarios no pueden trabajar normalmente y se quedan dormidos con las quejas de soporte técnico El director no puede ir a los sitios que necesita, descargar una película interesante, su virus informático favorito está latiendo en convulsiones moribundas. Nadie entiende lo que está sucediendo, pero todos saben quién (o más bien, qué) tiene la culpa. Y se toma una decisión volitiva: desconectar algo nuevo, guardarlo en un casillero hasta tiempos mejores. El mundo vuelve a florecer, la calma y el ritmo medido vuelven a la compañía. El director exhala ...
La segunda situación también es trivial. El equipo de protección comprado, incluso parece funcionar de manera más o menos estable, sin causar un efecto negativo. Y luego comienzan a llegar notificaciones de incidentes. Los "muchachos" que monitorean las señales SOS están tratando de responder, pero no lo entienden rápidamente o no funciona en absoluto. La protección resulta inútil, como una alarma de incendio que no está conectada a ningún lado.
La tercera situación, aún más reconocible. El director decide que la empresa puede hacerlo con medios modestos de protección, "sin lujos", y para verificar si todo funciona, debe realizar una prueba de penetración. En su opinión, el pentest se lleva a cabo una vez y garantiza la protección de la empresa contra la piratería "por el resto de mi vida". Se han realizado pruebas de penetración, se ha escrito el informe, se elogian los equipos de seguridad y se está pirateando a la empresa. El director se pone gris ...
Es cierto, situaciones familiares? Veamos por qué sucede esto.
Porque es asi
Cualquier solución anti-apt, SIEM, una herramienta de seguridad más o menos inteligente requiere una configuración especial para un sistema de información específico. Debajo de cada uno. No hay un medio milagroso de protección, no hay un "botón grande" que presioné, y todo funciona inmediatamente, sin ninguna acción adicional.
Todos saben que en cualquier sistema hay respuestas falsas positivas y falsas negativas. En este caso, respectivamente, falso positivo, esto es cuando cualquier acción legítima en el sistema se toma como un incidente, falso negativo, cuando el incidente se toma por acciones legítimas.
Entonces, ¿cómo configura las funciones de seguridad de su empresa para reducir la cantidad de falsos positivos?
La solución óptima es realizar pruebas de penetración completas utilizando el método de "caja negra". Idealmente, por supuesto, el Equipo Rojo. Absolutamente perfecto: primero un pentest para afinar, luego un Equipo Rojo - para verificar, afinar aún más sensible y entrenar al equipo del Equipo Azul para responder rápidamente a las señales del equipo de protección. Por lo tanto, podemos resolver el problema con la reacción insuficientemente rápida de los empleados. Es cierto que tal secuencia se traduce en una suma redonda, a veces insoportable para una empresa.
Pruebas de penetración? Enserio? ¿Pueden ayudarnos estos informes de escáneres?El principal problema con las pruebas de penetración es que se ha convertido en una corriente principal para las grandes empresas. Es inútil pedir un pentest y obtener un informe sobre lo que se encontró simplemente porque es "elegante, de moda, juvenil". Pero si la prueba de penetración se realiza bien y se aprenden lecciones de ella, esto es algo muy útil.
Lección 1. Coherencia del equipo de respuesta a incidentes y delegación de autoridad.
En caso de un incidente, la velocidad de respuesta juega un papel muy importante. Por lo tanto, el Equipo Azul debe estar bien coordinado: comprender las áreas de responsabilidad e intercambiar información rápidamente. Por supuesto, un nivel tan alto de interacción es difícil de lograr, pero las pruebas de penetración bien realizadas, la creación artificial de incidentes que provocan la reacción del equipo de protección, ayudan al equipo a comprender la secuencia de acciones y los detalles específicos de la respuesta en tales situaciones. Esto no significa que el equipo simplemente aprende de acuerdo con un patrón determinado (para incidentes específicos) y tiene un estupor si ocurre otro tipo de ataque. En este caso, es importante comprender el principio de interacción en sí mismo, determinar las áreas de responsabilidad (no en teoría, sino "en la vida real") y sentir todo en vivo.
Lección 2. Priorización de los activos de la empresa.
Está claro que hay información de diversos grados de criticidad, y es necesario priorizar los activos. Para desviar la atención, los atacantes a menudo realizan ataques simultáneos contra diversos recursos de la empresa. Se están creando una gran cantidad de incidentes, y el Equipo Azul debe ser competente para responder, dándose cuenta de qué ataques constituyen un peligro para la información crítica y cuáles son el ruido blanco. Si las prioridades iniciales no se establecen o se establecen incorrectamente, la empresa corre el riesgo de responder a los incidentes incorrectos.
Lección 3. Probar la respuesta del equipo de protección y su configuración adecuada.
Realizar pruebas de penetración ayuda al Equipo Azul a comprender cómo responden las defensas a un atacante específico. Por ejemplo, si se busca una contraseña de usuario y se bloquea periódicamente, es importante no solo bloquear la cuenta durante un tiempo, sino también notificar al equipo de respuesta a incidentes. Si su equipo de protección no responde a las acciones de los pentesters, entonces deben estar configurados correctamente. Pero no se involucre, de lo contrario, los usuarios simplemente no podrán trabajar normalmente.
Estas son probablemente las tres lecciones principales que las pruebas de penetración te ayudan a aprender. El punto principal es que el pentest no debe realizarse "para papel", sino de manera seria y responsable. La solución ideal es Red Team (emulación completa de acciones grupales aptas). Realmente es mucho tiempo, sinceramente, con la máxima elusión posible de los equipos de protección. Como siempre, debe pagar por la calidad, por lo que este tipo de servicio es muy costoso.
En lugar de una conclusión
Pero la esencia de esta fábula es esta: usa tus recursos sabiamente. Incluso los medios de protección más caros no podrán garantizar la seguridad de su empresa si no hay un equipo de respuesta a incidentes bien coordinado. Necesita seguridad real, no papel, por lo que debe invertir en una auditoría de seguridad "honesta".