在信息安全领域,不断发生某些事情-它正在发展,出现了新的保护手段,如果您相信它们的描述,每个人都知道如何做。 没有一个黑客可以将它们闯入您的信息系统并进行他的黑暗黑客交易。 当您阅读有关现代SIEM和anti-apt解决方案的信息时,您会为它在信息安全领域中的简单性而感到自豪-为自己放置一些小工具和软件,您会很高兴的,雇了几名员工来监视这个“动物园” “-总体来说很完美。 这就是大多数业务主管,安全管理员和销售经理对这些非常新颖的解决方案的看法。
原则上,童话几乎是真实的。 机器学习,与云的集成,带有事件事件的签名的不断补充-所有这些都有助于安全工具的开发。 但是,为此付出了很多钱,公司忘记了需要为特定的信息系统定制此类解决方案,在攻击过程中不会保存默认设置,信息系统无法正常运行。
其他公司为保护工具选择了更多预算选项-一生中有一次他们将订购安全分析服务,并相信现在一切都很好。 当事情发生时,他们非常愤慨! 确实,为确保公司安全所做的一切。 怎么了?
本文的目的是推测公司安全性的主题,并找出是否根本需要诸如渗透测试之类的服务,以及为什么IS昂贵。
很少有生活情况
因此,让我们开始吧。 这种情况对许多人来说是很普通和熟悉的。 在俄罗斯黑客(和其他国籍的黑客)的胁迫下,该公司的主管决定划定一笔款项,并在信息系统中实施一个反apt解决方案。 一个值得尊重的想法。 付费,实施解决方案,分配“男孩”来响应事件。 根据供应商的说法,一切都已设置好,以便可以如他们所说的那样“开箱即用”地工作。 一切都很完美。 公司的董事几乎是必杀技,但随后发生了一件可怕的事情。 购买的解决方案开始不断报告攻击。 不断。 几乎是24/7。 “男孩”必须对反apt解决方案的所有要求和担忧做出回应,他们说,没有发生任何严重的事件,但是垃圾邮件的攻击仍在继续。 用户无法正常工作并入睡技术支持投诉。 导演不能去他需要的地方,不能下载有趣的电影,他最喜欢的计算机病毒正在使濒死的抽搐发作。 没有人知道正在发生的事情,但是每个人都知道应该归咎于谁(或更确切地说,是什么)。 并做出了自愿决定-断开新事物的连接,将其放入储物柜中,直到出现更好的情况为止。 世界再次绽放,沉稳而有节奏的节奏回到了公司。 导演呼气...
第二种情况也是微不足道的。 购买的防护设备似乎在某种程度上稳定运行,而不会造成负面影响。 然后,有关事件的通知开始出现。 监视SOS信号的“男孩”正在尝试响应,但是他们要么无法及时获得信号,要么根本无法工作。 事实证明,这种保护是无用的,就像没有连接到任何地方的火灾报警器一样。
第三种情况,甚至更加明显。 主管认为公司可以采取适度的保护措施,做到“没有多余的装饰”,并且要检查一切是否正常,您应该进行渗透测试。 在他看来,渗透测试只进行一次,从而保证了公司免受“我的余生”黑客的侵害。 已经完成渗透测试,编写了报告,赞扬了安全设备,并对该公司进行了黑客攻击。 导演变成灰色...
真实,熟悉的情况? 让我们弄清楚为什么会这样。
为什么会这样
任何反适配解决方案SIEM或多或少都是智能安全工具,都需要针对特定信息系统进行特殊配置。 根据每个。 没有奇迹般的保护手段,没有我按下的“大按钮”-一切立即生效,无需任何其他操作。
大家都知道,在任何系统中,都有错误的肯定和错误的否定反应。 在这种情况下,分别将误报(当系统中的任何合法操作都视为事件时),将误报(当对系统进行任何合法操作时)。
那么,如何设置公司的安全功能以减少误报的数量?
最佳解决方案是使用“黑匣子”方法进行全面的渗透测试。 理想情况下,当然是Red Team。 绝对完美:首先是进行调优的测试笔,然后是红队-进行检查,甚至进行更灵敏的调教,并培训蓝队以快速响应防护设备的信号。 因此,我们可以解决员工反应不足的问题。 没错,这样的序列转化为整数,有时对公司来说是难以承受的。
渗透测试? 真的吗 这些扫描仪报告可以帮助我们吗?渗透测试的主要问题在于,它已成为大公司的主流。 仅仅因为它是“时尚,时尚,青春”,订购一次渗透测试并获得发现的报告就没有用了。 但是,如果渗透测试做得很好并且从中学到了教训,这将是非常有用的事情。
第1课。事件响应团队的连贯性和权力下放。
发生事件时,响应速度至关重要。 因此,蓝色团队应协调良好-了解责任领域并迅速交换信息。 当然,如此高的交互作用很难实现,但是进行良好的渗透测试(人为地制造可引起防护设备反应的事件)可以帮助团队理解这种情况下的动作顺序和响应的细节。 这并不意味着该团队只是根据某种模式(针对特定事件)学习,并且如果发生另一种类型的攻击,就会陷入僵局。 在这种情况下,重要的是要理解交互作用本身的原理,确定责任范围(不是理论上的,而是“现实生活中的”),并感觉到一切都活着。
第2课。确定公司资产的优先级。
显然,存在不同程度的关键性信息,因此有必要对资产进行优先级排序。 为了转移注意力,攻击者经常对各种公司资源进行同时攻击。 正在制造大量事件,蓝队必须有能力做出响应-意识到哪些攻击对关键信息构成危险,哪些是白噪声。 如果未设置初始优先级或设置不正确,则公司有应对错误事件的风险。
第3课。测试防护设备的响应及其正确配置。
进行渗透测试有助于蓝队了解防御如何响应特定的攻击者。 例如,如果搜索到用户密码并定期对其进行阻止,则重要的是,不仅要锁定该帐户一段时间,而且还要将事件通知事件响应团队。 如果您的防护设备对渗透测试仪的动作没有反应,则必须正确配置它们。 但是请不要参与其中,否则用户将无法正常工作。
这可能是渗透测试可以帮助您学习的三个主要课程。 最主要的一点是,渗透测试不应“用纸做”,而应认真负责地进行。 理想的解决方案是Red Team(apt组动作的完全模拟)。 老实说,这是很长一段时间,要最大程度地规避防护设备。 与往常一样-您必须为质量付出代价,因此这种服务非常昂贵。
而不是结论
但是这个寓言的本质是:明智地利用您的资源。 如果没有协调良好的事件响应团队,即使是最昂贵的保护手段也将无法确保公司的安全。 您需要真正的安全性,而不是纸面的,因此您应该投资于“诚实的”安全性审计。