Di bidang keamanan informasi, sesuatu yang terus-menerus terjadi - sedang berkembang, cara perlindungan baru muncul, yang, jika Anda percaya uraiannya, semua orang tahu caranya. Tidak ada satu pun peretas yang dapat menerobosnya ke dalam sistem informasi Anda dan melakukan peretas gelapnya. Ketika Anda membaca tentang SIEM modern dan solusi anti-apt, Anda bangga dengan betapa sederhananya di dunia keamanan informasi - letakkan beberapa gadget dan perangkat lunak untuk diri Anda sendiri dan Anda akan bahagia, pekerjakan beberapa karyawan untuk memantau "kebun binatang" ini "- dan umumnya sempurna. Itulah yang dipikirkan oleh kebanyakan eksekutif bisnis, administrator keamanan, dan manajer penjualan dari solusi yang sangat baru ini.
Dan pada prinsipnya, dongeng hampir nyata. Pembelajaran mesin, integrasi dengan cloud, pengisian ulang tanda tangan secara konstan dengan insiden insiden - semua ini membantu dengan baik dalam pengembangan alat keamanan. Tetapi, dengan memberikan banyak uang untuk ini, perusahaan lupa bahwa solusi seperti itu perlu disesuaikan untuk sistem informasi tertentu, bahwa pengaturan default tidak akan menghemat selama serangan, bahwa sistem informasi tidak berfungsi dalam ruang hampa.
Perusahaan lain memilih lebih banyak opsi anggaran untuk alat perlindungan - sekali seumur hidup mereka akan memesan layanan analisis keamanan dan percaya bahwa sekarang semuanya baik-baik saja dengan mereka. Dan mereka sangat marah ketika sesuatu terjadi! Memang, semuanya dilakukan untuk mengamankan perusahaan. Apa yang salah?
Tujuan artikel ini adalah untuk berspekulasi tentang topik keamanan perusahaan, dan juga untuk mengetahui apakah layanan seperti pengujian penetrasi diperlukan sama sekali, dan mengapa IS mahal.
Beberapa situasi kehidupan
Jadi mari kita mulai. Situasinya cukup biasa dan tidak asing bagi banyak orang. Diintimidasi oleh peretas Rusia (dan peretas kebangsaan lain), direktur perusahaan memutuskan untuk memberikan jumlah bulat dan menerapkan solusi anti-apt dalam sistem informasi. Sebuah ide yang layak dihargai. Uang yang dibayarkan, solusi yang diterapkan, βanak laki-lakiβ ditugaskan untuk merespons insiden. Menurut vendor, semuanya sudah diatur sehingga akan berfungsi, seperti yang mereka katakan, "out of the box". Semuanya sempurna. Direktur perusahaan hampir di nirwana, tetapi kemudian hal buruk terjadi. Solusi yang dibeli mulai melaporkan serangan secara konstan. Secara konstan. Hampir 24/7. "Anak laki-laki", yang harus menanggapi semua panggilan dan kekhawatiran solusi anti-apt, mengatakan bahwa tidak ada hal penting yang terjadi, tetapi pemberitahuan spam tentang serangan terus berlanjut. Pengguna tidak dapat bekerja secara normal dan tertidur dengan keluhan dukungan teknis. Sutradara tidak dapat pergi ke situs yang dia butuhkan, mengunduh film yang menarik, virus komputer favoritnya berdenyut dalam kejang sekarat. Tidak ada yang mengerti apa yang terjadi, tetapi semua orang tahu siapa (atau lebih tepatnya, apa) yang harus disalahkan. Dan keputusan atas kehendak dibuat - untuk memutuskan hal baru, memasukkannya ke dalam loker sampai waktu yang lebih baik. Dunia mekar lagi, ketenangan dan ritme yang diukur kembali ke perusahaan. Direktur menghembuskan napas ...
Situasi kedua juga sepele. Peralatan pelindung yang dibeli, bahkan tampaknya bekerja lebih atau kurang stabil, tanpa menyebabkan negatif. Dan kemudian pemberitahuan insiden mulai datang. "Anak laki-laki" yang memonitor sinyal SOS sedang mencoba merespons, tetapi mereka juga tidak segera mendapatkannya, atau tidak berfungsi sama sekali. Perlindungan ternyata tidak berguna, seperti alarm kebakaran yang tidak terhubung di mana pun.
Situasi ketiga, bahkan lebih mudah dikenali. Direktur memutuskan bahwa perusahaan dapat melakukan dengan cara perlindungan sederhana, "tanpa embel-embel", dan untuk memeriksa apakah semuanya berfungsi, Anda harus melakukan uji penetrasi. Menurut pendapatnya, pentest dilakukan sekali dan menjamin perlindungan perusahaan dari peretasan "selama sisa hidup saya." Pengujian penetrasi telah dilakukan, laporan telah ditulis, pujian untuk peralatan keamanan dinyanyikan, dan perusahaan diretas. Direktur berubah abu-abu ...
Benar, situasi yang akrab? Mari kita cari tahu mengapa ini terjadi.
Kenapa begitu
Solusi anti-apt, SIEM, alat keamanan yang kurang lebih cerdas memerlukan konfigurasi khusus untuk sistem informasi tertentu. Di bawah masing-masing. Tidak ada keajaiban cara perlindungan, tidak ada "tombol besar" yang saya tekan - dan semuanya segera berfungsi, tanpa tindakan tambahan.
Semua orang tahu bahwa dalam sistem apa pun ada tanggapan positif palsu dan negatif palsu. Dalam hal ini, masing-masing, false positive - ini adalah ketika tindakan sah dalam sistem diambil sebagai insiden, false negative - ketika insiden tersebut diambil untuk tindakan yang sah.
Jadi, bagaimana Anda mengatur fitur keamanan perusahaan Anda untuk mengurangi jumlah kesalahan positif?
Solusi optimal adalah dengan melakukan pengujian penetrasi penuh menggunakan metode "kotak hitam". Idealnya, tentu saja, Tim Merah. Benar-benar sempurna: pertama pentest untuk penyetelan, kemudian Tim Merah - untuk memeriksa, penyetelan yang lebih sensitif dan melatih tim Tim Biru untuk dengan cepat menanggapi sinyal dari peralatan pelindung. Dengan demikian, kita dapat menyelesaikan masalah dengan reaksi karyawan yang kurang cepat. Benar, urutan seperti itu diterjemahkan ke dalam jumlah bulat, terkadang tak tertahankan bagi perusahaan.
Pengujian Penetrasi? Benarkah? Bisakah laporan pemindai ini membantu kami?Masalah utama dengan pengujian penetrasi adalah telah menjadi arus utama bagi perusahaan besar. Tidak ada gunanya memesan pentest dan mendapatkan laporan tentang apa yang ditemukan hanya karena "bergaya, modis, awet muda". Tetapi jika pengujian penetrasi dilakukan dengan baik dan pelajaran dapat dipetik dari itu, ini adalah hal yang sangat berguna.
Pelajaran 1. Koherensi tim respons insiden dan pelimpahan wewenang.
Jika terjadi insiden, kecepatan respons memainkan peran besar. Karena itu, Tim Biru harus terkoordinasi dengan baik - memahami bidang tanggung jawab dan bertukar informasi dengan cepat. Tentu saja, interaksi tingkat tinggi seperti itu sulit dicapai, tetapi pengujian penetrasi yang dilakukan dengan baik - penciptaan buatan insiden yang memancing reaksi peralatan pelindung - membantu tim memahami urutan tindakan dan kekhasan respon dalam situasi seperti itu. Ini tidak berarti bahwa tim hanya belajar sesuai dengan pola tertentu (untuk insiden tertentu) dan memiliki efek pingsan jika jenis serangan lain terjadi. Dalam hal ini, penting untuk memahami prinsip interaksi itu sendiri, untuk menentukan bidang tanggung jawab (bukan dalam teori, tetapi "dalam kehidupan nyata") dan untuk merasakan semuanya hidup.
Pelajaran 2. Memprioritaskan aset perusahaan.
Jelas bahwa ada informasi dengan berbagai tingkat kekritisan, dan perlu memprioritaskan aset. Untuk mengalihkan perhatian, penyerang sering melakukan serangan simultan pada berbagai sumber daya perusahaan. Sejumlah besar insiden sedang diciptakan, dan Tim Biru harus kompeten dalam merespons - menyadari serangan mana yang merupakan bahaya bagi informasi kritis dan yang merupakan white noise. Jika prioritas awal tidak ditetapkan atau ditetapkan secara tidak benar, perusahaan menanggung risiko merespons insiden yang salah.
Pelajaran 3. Menguji respons peralatan pelindung dan konfigurasi yang sesuai.
Melakukan pengujian penetrasi membantu Tim Biru memahami bagaimana pertahanan menanggapi penyerang tertentu. Misalnya, jika kata sandi pengguna dicari dan diblokir secara berkala, penting untuk tidak hanya memblokir akun selama beberapa waktu, tetapi juga untuk memberi tahu tim respons kejadian tentang hal itu. Jika peralatan pelindung Anda tidak merespons tindakan pentester, maka peralatan tersebut harus dikonfigurasi dengan benar. Tetapi jangan terlibat, jika tidak, pengguna tidak akan dapat bekerja secara normal.
Berikut ini mungkin tiga pelajaran utama yang dapat Anda pelajari dari pengujian penetrasi. Poin utama adalah bahwa pentest tidak boleh dilakukan "untuk kertas", tetapi dengan serius dan bertanggung jawab. Solusi ideal adalah Tim Merah (emulasi penuh aksi kelompok yang tepat). Sejujurnya, ini adalah waktu yang lama, dengan kemungkinan peralatan pelindung yang maksimal. Seperti biasa - Anda harus membayar untuk kualitas, jadi layanan seperti ini sangat mahal.
Alih-alih sebuah kesimpulan
Tetapi inti dari dongeng ini adalah ini: gunakan sumber daya Anda dengan bijak. Bahkan alat perlindungan yang paling mahal pun tidak akan dapat memastikan keamanan perusahaan Anda jika tidak ada tim respons insiden yang terkoordinasi dengan baik. Anda membutuhkan keamanan nyata, bukan kertas, jadi Anda harus berinvestasi dalam audit keamanan "jujur".