No campo da segurança da informação, algo acontece constantemente - ele está se desenvolvendo, novos meios de proteção aparecem, os quais, se você acredita na descrição deles, todos sabem como. Nem um único hacker pode invadi-los em seu sistema de informações e fazer negócios obscuros com hackers. Quando você lê sobre as soluções modernas SIEM e anti-apt, orgulha-se de como é simples no mundo da segurança da informação - coloque alguns gadgets e softwares para você e ficará feliz em contratar alguns funcionários para monitorar esse "zoológico" "- e geralmente perfeito. É o que a maioria dos executivos de negócios, administradores de segurança e gerentes de vendas pensam sobre essas soluções muito novas.
E, em princípio, um conto de fadas é quase real. Aprendizado de máquina, integração com a nuvem, o constante reabastecimento de assinaturas com incidentes de incidentes - tudo isso ajuda muito no desenvolvimento de ferramentas de segurança. Mas, dando muito dinheiro para isso, as empresas esquecem que essas soluções precisam ser personalizadas para um sistema de informações específico, que as configurações padrão não serão salvas durante um ataque, que o sistema de informação não funciona no vácuo.
Outras empresas escolhem mais opções orçamentárias para ferramentas de proteção - uma vez na vida, solicitam um serviço de análise de segurança e acreditam que agora está tudo bem com elas. E eles ficam muito indignados quando algo acontece! De fato, tudo foi feito para proteger a empresa. O que deu errado?
O objetivo deste artigo é especular sobre o tema segurança da empresa e também descobrir se são necessários serviços como testes de penetração e por que o IS é caro.
Poucas situações da vida
Então, vamos começar. A situação é bastante comum e familiar para muitos. Intimidado por hackers russos (e hackers de outras nacionalidades), o diretor da empresa decide estabelecer uma soma redonda e implementar uma solução anti-apt no sistema de informação. Uma ideia digna de respeito. Dinheiro pago, solução implementada, "meninos" designados para responder a incidentes. Segundo o fornecedor, tudo está configurado para que funcione, como se costuma dizer, "pronto para uso". Tudo está perfeito. O diretor da empresa está quase no nirvana, mas acontece uma coisa terrível. A solução adquirida começa a relatar ataques constantemente. Constantemente. Quase 24/7. Os "meninos", que devem responder a todas as chamadas e preocupações da solução anti-apt, dizem que nada de crítico está acontecendo, mas a notificação de spam dos ataques continua. Os usuários não podem trabalhar normalmente e adormecer reclamações de suporte técnico. O diretor não pode ir aos sites de que precisa, baixar um filme interessante, seu vírus de computador favorito está batendo em convulsões agonizantes. Ninguém entende o que está acontecendo, mas todo mundo sabe quem (ou melhor, o que) é o culpado. E é tomada uma decisão volitiva - desconectar uma coisa nova, colocá-la em um armário até melhores tempos. O mundo floresce novamente, a calma e o ritmo medido retornam à empresa. O diretor exala ...
A segunda situação também é trivial. Os equipamentos de proteção adquiridos parecem até funcionar de maneira mais ou menos estável, sem causar resultados negativos. E então as notificações de incidentes começam a chegar. Os "meninos" que monitoram os sinais do SOS estão tentando responder, mas eles não entendem imediatamente, ou não funcionam de jeito nenhum. A proteção acaba sendo inútil, como um alarme de incêndio que não está conectado a lugar algum.
A terceira situação, ainda mais reconhecível. O diretor decide que a empresa pode fazer com modestos meios de proteção, “sem frescuras”, e para verificar se tudo funciona, você deve realizar um teste de penetração. Na sua opinião, o teste é realizado uma vez e garante a proteção da empresa contra hackers "pelo resto da minha vida". Testes de penetração foram feitos, o relatório foi escrito, elogios ao equipamento de segurança são cantados e a empresa está sendo invadida. Diretor fica cinza ...
Verdadeiras situações familiares? Vamos descobrir por que isso acontece.
Por que é tão
Qualquer solução anti-apt, SIEM, uma ferramenta de segurança mais ou menos inteligente requer configuração especial para um sistema de informações específico. Sob cada um. Não há meios milagrosos de proteção, não há "botão grande" que pressionei - e tudo imediatamente funciona, sem nenhuma ação adicional.
Todo mundo sabe que em qualquer sistema existem respostas falsas positivas e falsas negativas. Nesse caso, respectivamente, falso positivo - é quando qualquer ação legítima no sistema é tomada como um incidente, falso negativo - quando o incidente é levado para ações legítimas.
Então, como você configura os recursos de segurança da sua empresa para reduzir o número de falsos positivos?
A solução ideal é realizar testes de penetração completos usando o método "caixa preta". Idealmente, é claro, Red Team. Absolutamente perfeito: primeiro um teste de sintonia, depois um Red Team - para verificar, ainda mais sensível e treinar o Blue Team para responder rapidamente aos sinais do equipamento de proteção. Assim, podemos resolver o problema com a reação insuficientemente rápida dos funcionários. É verdade que essa sequência se traduz em uma soma redonda, às vezes insuportável para uma empresa.
Teste de penetração? Sério? Esses relatórios dos scanners podem nos ajudar?O principal problema do teste de penetração é que ele se tornou popular para grandes empresas. É inútil pedir um penteado e obter um relatório sobre o que foi encontrado simplesmente porque é "elegante, elegante, jovem". Mas se o teste de penetração for bem-sucedido e as lições forem aprendidas, isso é uma coisa muito útil.
Lição 1. Coerência da equipe de resposta a incidentes e delegação de autoridade.
No caso de um incidente, a velocidade de resposta desempenha um papel enorme. Portanto, a equipe azul deve ser harmoniosa - entender as áreas de responsabilidade e trocar informações rapidamente. Obviamente, é difícil alcançar um nível tão alto de interação, mas testes de penetração bem conduzidos - a criação artificial de incidentes que provocam a reação de equipamentos de proteção - ajudam a equipe a entender a sequência de ações e as especificidades da resposta em tais situações. Isso não significa que a equipe simplesmente aprenda de acordo com um determinado padrão (para incidentes específicos) e fica estupor se outro tipo de ataque ocorrer. Nesse caso, é importante entender o princípio da interação em si, determinar as áreas de responsabilidade (não na teoria, mas "na vida real") e sentir tudo ao vivo.
Lição 2. Priorização dos ativos da empresa.
É claro que existem informações com graus variados de criticidade e é necessário priorizar ativos. Para desviar a atenção, os atacantes geralmente conduzem ataques simultâneos a vários recursos da empresa. Um grande número de incidentes está sendo criado, e a Equipe Azul deve ser competente em responder - percebendo quais ataques constituem um perigo para informações críticas e quais são ruídos brancos. Se as prioridades iniciais não estiverem definidas ou estiverem incorretas, a empresa corre o risco de responder aos incidentes errados.
Lição 3. Testando a resposta do equipamento de proteção e sua configuração adequada.
A realização de testes de penetração ajuda a Equipe Azul a entender como as defesas respondem a um invasor específico. Por exemplo, se uma senha de usuário for pesquisada e periodicamente bloqueada, é importante não apenas bloquear a conta por algum tempo, mas também notificar a equipe de resposta a incidentes sobre ela. Se o seu equipamento de proteção não responder às ações dos pentesters, eles deverão estar corretamente configurados. Mas não se envolva, caso contrário, os usuários simplesmente não poderão trabalhar normalmente.
Aqui estão provavelmente as três principais lições que o teste de penetração ajuda a aprender. O ponto principal é que o pentest não deve ser realizado "por papel", mas com seriedade e responsabilidade. A solução ideal é Red Team (emulação total de ações de grupo apt). Realmente é muito tempo, honestamente, com a máxima evasão possível de equipamentos de proteção. Como sempre - você precisa pagar pela qualidade, portanto esse tipo de serviço é muito caro.
Em vez de uma conclusão
Mas a essência dessa fábula é a seguinte: use seus recursos com sabedoria. Mesmo os meios de proteção mais caros não serão capazes de garantir a segurança da sua empresa se não houver uma equipe de resposta a incidentes bem coordenada. Você precisa de segurança real, não de papel, por isso deve investir em uma auditoria de segurança "honesta".