Dans le domaine de la sécurité de l'information, il se passe constamment quelque chose - il se développe, de nouveaux moyens de protection apparaissent, qui, si l'on en croit leur description, le savent tous. Pas un seul pirate informatique ne peut les pénétrer dans votre système d'information et faire ses pirates sombres. Lorsque vous lisez des informations sur les solutions SIEM et anti-apt modernes, vous êtes fier de sa simplicité dans le monde de la sécurité de l'information - mettez des gadgets et des logiciels pour vous et vous serez heureux, embauchez quelques employés pour surveiller ce «zoo» "- et généralement parfait. C'est ce que la plupart des dirigeants d'entreprise, des administrateurs de la sécurité et des directeurs des ventes pensent de ces solutions très récentes.
Et en principe, un conte de fées est presque réel. Apprentissage automatique, intégration avec le cloud, réapprovisionnement constant des signatures avec des incidents - tout cela aide bien au développement d'outils de sécurité. Mais, en donnant beaucoup d'argent pour cela, les entreprises oublient que de telles décisions doivent être personnalisées pour un système d'information spécifique, que les paramètres par défaut ne seront pas enregistrés lors d'une attaque, que le système d'information ne fonctionne pas en vase clos.
D'autres entreprises choisissent plus d'options budgétaires pour les outils de protection - une fois dans leur vie, elles commanderont un service d'analyse de sécurité et croient que maintenant tout va bien pour elles. Et ils sont très indignés quand quelque chose se passe! En effet, tout a été fait pour sécuriser l'entreprise. Qu'est-ce qui a mal tourné?
Le but de cet article est de spéculer sur le sujet de la sécurité de l'entreprise, et aussi de savoir si des services tels que les tests de pénétration sont nécessaires, et pourquoi les SI sont chers.
Peu de situations de vie
Commençons donc. La situation est assez ordinaire et familière à beaucoup. Intimidé par les hackers russes (et les hackers d'autres nationalités), le directeur de l'entreprise décide de chiffrer un montant rond et de mettre en place une solution anti-apt dans le système d'information. Une idée digne de respect. Argent payé, solution mise en œuvre, «garçons» affectés pour répondre aux incidents. Selon le vendeur, tout est mis en place pour que cela fonctionne, comme on dit, «prêt à l'emploi». Tout est parfait. Le directeur de l'entreprise est presque dans le nirvana, mais une chose terrible se produit. La solution achetée commence à signaler constamment des attaques. Constamment. Presque 24/7. Les "garçons", qui doivent répondre à tous les appels et inquiétudes de la solution anti-apt, disent que rien de critique ne se passe, mais la notification de spam des attaques continue. Les utilisateurs ne peuvent pas travailler normalement et s'endormir pour se plaindre du support technique. Le réalisateur ne peut pas aller sur les sites dont il a besoin, télécharger un film intéressant, son virus informatique préféré bat dans des convulsions mourantes. Personne ne comprend ce qui se passe, mais tout le monde sait qui (ou plutôt, quoi) est à blâmer. Et une décision volontaire est prise - déconnecter une nouvelle chose, la mettre dans un casier jusqu'à des temps meilleurs. Le monde fleurit à nouveau, le calme et le rythme mesuré reviennent à l'entreprise. Le réalisateur exhale ...
La seconde situation est également banale. Les équipements de protection achetés semblent même fonctionner de façon plus ou moins stable, sans provoquer de négatif. Et puis les notifications d'incidents commencent à arriver. Les «garçons» qui surveillent les signaux SOS essaient de répondre, mais soit ils ne les reçoivent pas rapidement, soit cela ne fonctionne pas du tout. La protection s'avère inutile, comme une alarme incendie qui n'est connectée nulle part.
La troisième situation, encore plus reconnaissable. Le directeur décide que l'entreprise peut faire avec des moyens de protection modestes, «sans fioritures», et pour vérifier si tout fonctionne, vous devez effectuer un test de pénétration. Selon lui, le pentest est effectué une fois et garantit la protection de l'entreprise contre le piratage «pour le reste de ma vie». Des tests de pénétration ont été effectués, le rapport a été rédigé, des louanges pour l'équipement de sécurité sont chantées et l'entreprise est piratée. Le réalisateur devient gris ...
Vraies situations familières? Voyons pourquoi cela se produit.
Pourquoi est-il si
Toute solution anti-apt, SIEM, outil de sécurité plus ou moins intelligent nécessite une configuration particulière pour un système d'information spécifique. Sous chacun. Il n'y a pas de moyen de protection miracle, il n'y a pas de "gros bouton" sur lequel j'ai appuyé - et tout fonctionne immédiatement, sans aucune action supplémentaire.
Tout le monde sait que dans tout système, il y a des réponses faussement positives et fausses négatives. Dans ce cas, respectivement, faux positif - c'est lorsque des actions légitimes dans le système sont prises comme un incident, faux négatif - lorsque l'incident est pris pour des actions légitimes.
Alors, comment configurez-vous les fonctionnalités de sécurité de votre entreprise pour réduire le nombre de faux positifs?
La solution optimale consiste à effectuer des tests de pénétration à part entière en utilisant la méthode de la «boîte noire». Idéalement, bien sûr, Red Team. Absolument parfait: d'abord un pentest pour le réglage, puis une équipe rouge - pour vérifier, un réglage encore plus sensible et former l'équipe de la Blue Team à répondre rapidement aux signaux des équipements de protection. Ainsi, nous pouvons résoudre le problème avec la réaction insuffisamment rapide des employés. Certes, une telle séquence se traduit par une somme ronde, parfois insupportable pour une entreprise.
Test de pénétration? Vraiment? Ces rapports de scanners peuvent-ils nous aider?Le principal problème des tests de pénétration est qu'ils sont devenus courants pour les grandes entreprises. Il est inutile de commander un pentest et d'obtenir un rapport sur ce qui a été trouvé simplement parce qu'il est "élégant, à la mode, jeune". Mais si les tests de pénétration sont bien faits et que des leçons en sont tirées, c'est une chose très utile.
Leçon 1. Cohérence de l'équipe d'intervention en cas d'incident et délégation de pouvoirs.
En cas d'incident, la vitesse de réponse joue un rôle énorme. Par conséquent, l'équipe bleue doit être bien coordonnée - comprendre les domaines de responsabilité et échanger rapidement des informations. Bien sûr, un niveau d'interaction aussi élevé est difficile à atteindre, mais des tests de pénétration bien conduits - la création artificielle d'incidents qui provoquent la réaction des équipements de protection - aident l'équipe à comprendre la séquence des actions et les détails de la réponse dans de telles situations. Cela ne signifie pas que l'équipe apprend simplement selon un certain schéma (pour des incidents spécifiques) et qu'elle a la stupeur si un autre type d'attaque se produit. Dans ce cas, il est important de comprendre le principe de l'interaction elle-même, de déterminer les domaines de responsabilité (pas en théorie, mais «dans la vie réelle») et de sentir tout vivre.
Leçon 2. Hiérarchisation des actifs de l'entreprise.
Il est clair qu'il existe des informations de divers degrés de criticité, et il est nécessaire de hiérarchiser les actifs. Pour détourner l'attention, les attaquants mènent souvent des attaques simultanées sur diverses ressources de l'entreprise. Un grand nombre d'incidents sont en cours de création, et l'équipe bleue doit être compétente pour réagir - en réalisant quelles attaques constituent un danger pour les informations critiques et lesquelles sont du bruit blanc. Si les priorités initiales ne sont pas définies ou sont mal définies, l'entreprise court le risque de répondre aux mauvais incidents.
Leçon 3. Test de la réponse des équipements de protection et de leur configuration appropriée.
La réalisation de tests de pénétration aide l'équipe bleue à comprendre comment les défenses répondent à un attaquant spécifique. Par exemple, si un mot de passe utilisateur est recherché et qu'il est périodiquement bloqué, il est important non seulement de bloquer le compte pendant un certain temps, mais également d'en informer l'équipe de réponse aux incidents. Si votre équipement de protection ne répond pas aux actions des pentesters, alors ils doivent être correctement configurés. Mais ne vous impliquez pas, sinon les utilisateurs ne pourront tout simplement pas travailler normalement.
Voici probablement les trois principales leçons que les tests de pénétration vous aident à apprendre. Le point principal est que le pentest ne doit pas être effectué «pour le papier», mais sérieusement et de manière responsable. La solution idéale est Red Team (émulation complète des actions de groupe apt). C'est vraiment long, honnêtement, avec le maximum de contournement possible des équipements de protection. Comme toujours, vous devez payer pour la qualité, donc ce type de service est très cher.
Au lieu d'une conclusion
Mais l'essence de cette fable est la suivante: utilisez judicieusement vos ressources. Même les moyens de protection les plus chers ne seront pas en mesure d'assurer la sécurité de votre entreprise s'il n'y a pas d'équipe de réponse aux incidents bien coordonnée. Vous avez besoin d'une réelle sécurité, pas de papier, vous devez donc investir dans un audit de sécurité «honnête».