Mikä niistä on sinulle järkevä?
Jos olet vastuussa kyberturvallisuuspäätöksistä, olet luultavasti paininut tämän kysymyksen kanssa: minkälainen tietoturvatestaus todella kertoo sinulle jotain hyödyllistä?
Koska lunnasohjelmahyökkäykset lisääntyvät jatkuvasti ja hakkerit ovat yhä kehittyneempiä, vuotuiset haavoittuvuustarkastukset eivät tunnu enää riittäviltä. Johtokunnat kysyvät entistä kovempia kysymyksiä tietoturvan kannattavuudesta. Sinun on tiedettävä, missä olet todellisuudessa todellisten uhkien edessä.
Tässä vaiheessa tulevat käyttöön tunkeutumistestaus, red teaming ja purple teaming . Turvallisuusalalla näitä termejä käytetään toisinaan vaihtelevasti. Ja rehellisesti sanottuna markkinointimateriaalitkaan eivät auta selventämään asioita. Ne eivät kuitenkaan ole sama asia. Kumpikin palvelee eri tarkoituksia, ja vääränlainen valinta voi tuhlata budjettia tai jättää huomiotta kriittisiä puutteita.
Kerron, mitä kukin tekee ja milloin voit valita yhden vaihtoehdon toisen sijaan.
Tunkeutumistestaus: Heikot kohdat: Selvien (ja ei-niin-selkeiden) heikkojen kohtien havaitseminen
Tunkeutumistestaus on valvottua, valtuutettua turvallisuuden arviointia. Ajattele sitä teknisenä perustason terveystarkastuksena, mutta perusteellisempana kuin automaattista skannausta.
Tarkoitus on suoraviivainen: tiimit etsivät ja hyödyntävät haavoittuvuuksia järjestelmissäsi, sovelluksissasi ja verkossasi. Kyse on puuttuvista korjauksista, virheellisistä konfiguraatioista, heikosta todennuksesta ja SQL-injektiovirheistä. Teknisistä heikkouksista, joita esiintyy jatkuvasti tietomurtoraporteissa.
Soveltamisala on yleensä määritelty ja rajattu. Voit testata tiettyä sovellusta, verkon osaa tai järjestelmien joukkoa. Saat luettelon siitä, mikä on haavoittuva, miten sitä on hyödynnetty ja mitä asialle on tehtävä. Se on jäsenneltyä ja tehokasta.
Tunkeutumistestaus ei testaa sitä, miten hyvin tiimisi havaitsee uhat tai reagoi vaaratilanteisiin. Ajattelen sitä pikemminkin teknisten riskien kartoittamisena kuin toimintavalmiuden testaamisena. Mikä on hyvä asia. Sitä varten se on suunniteltu.
Paras: Organisaatiot, jotka rakentavat tai validoivat perustavanlaatuisia tietoturvakontrolleja, täyttävät vaatimustenmukaisuusvaatimuksia tai suorittavat säännöllisiä varmuustarkastuksia.
Red Teaming: Testaa muutakin kuin vain tekniikkaasi
Red teaming on täysin erilainen lähestymistapa. Yksittäisten haavoittuvuuksien metsästämisen sijaan punaiset ryhmät pyrkivät saavuttamaan tietyt tavoitteet kaikin tarvittavin keinoin.
Tässä vaiheessa organisaatiosi joutuu koetukselle, kuten se joutuisi oikean hyökkäyksen kohteeksi. red team toimii kuin päättäväinen vastustaja, joka käyttää tekniikoita, kuten phishing-sähköposteja, sosiaalista manipulointia, sivuttaisliikettä ja jopa fyysistä pääsyä (jos se on sallittua) nähdäkseen, kuinka pitkälle se voi edetä huomaamatta.
red team saattaa käyttää viikkoja hyökkäyksensä rakentamiseen, aivan kuten oikeat vastustajat tekevät. He tutkivat työntekijöitäsi LinkedInissä, laativat vakuuttavia phishing-kampanjoita, luovat jalansijaa verkossasi ja yrittävät päästä käsiksi arkaluonteisiin tietoihin. Kaikki tämä tapahtuu samalla, kun tietoturvaryhmäsi toimii normaalisti tietämättä, että heitä testataan.
Tämä lähestymistapa paljastaa asioita, joita penetraatiotestaus ei huomaa. Kuinka nopeasti SOC havaitsee epätavallista toimintaa? Toimivatko vaaratilanteisiin reagoimismenettelyt, kun ihmiset ovat stressaantuneita? Onko seurannassasi sokeita kohtia, joita hyökkääjät voisivat hyödyntää?
Paras: Organisaatiot, joilla on pitkälle kehitetyt tietoturvaohjelmat ja jotka haluavat validoida havaitsemis- ja reagointivalmiutensa paineen alla.
Purple Teaming: Learning While Fighting
Purple teaming tuo red team ja puolustajasi samaan huoneeseen - joskus kirjaimellisesti.
Sen sijaan, että odottaisit loppuraporttia, puolustusryhmäsi saa palautetta välittömästi. Kun red team löytää keinon ohittaa valvontasi, se selittää menetelmänsä heti. Sininen tiimisi voi mukauttaa havaintosääntöjään ja testata niitä välittömästi.
Tämä yhteistyöhön perustuva lähestymistapa nopeuttaa oppimista. Sen sijaan, että molemmat ryhmät pelaisivat "gotcha"-pelejä, ne keskittyvät todellisen tietoturvatilanteen parantamiseen. Puolustajat oppivat uusia hyökkäystekniikoita. red team ymmärtää, miksi tietyt suojaukset ovat olemassa.
Huono puoli? Se vaatii molemmilta osapuolilta enemmän koordinointia ja rehellisesti sanottuna kypsyyttä. Tiimien on hillittävä egonsa ja työskenneltävä avoimesti yhdessä, mikä ei ole aina helppoa.
Paras: tiimit, jotka haluavat kehittää sisäisiä taitoja, kehittää tietoturvatoimintojaan tai korjata havaitsemis- ja reagointipuutteet nopeasti.
Kumpi pitäisi valita?
Ajattelen asiaa yleensä näin:
Aloita tunkeutumistestaus, jos:
- Olet turvallisuusohjelmasi alkuvaiheessa
- Sinun on täytettävä vaatimustenmukaisuusvaatimukset
- Haluat kustannustehokkaan tavan tunnistaa tekniset heikkoudet.
- Sinun on varmistettava, että viimeisimmät korjaukset todella toimivat.
Siirry red teaming , kun:
- Perusturvavalvontasi on kohtuullisen kehittynyttä
- Haluat testata häiriötilanteisiin reagointivalmiuksiasi
- Sinun on ymmärrettävä reaalimaailman hyökkäysreitit.
- Johto haluaa tietoa todellisesta turvallisuusvastuullisuudesta.
Harkitse purple teaming , jos:
- Olet sitoutunut jatkuvaan turvallisuuden parantamiseen
- Sinulla on sisäisesti sekä hyökkäys- että puolustuskykyjä.
- Haluat nopeuttaa molempien tiimien oppimista
- Suoritat jatkuvia tietoturvaohjelmia kertaluonteisten arviointien sijaan.
Uskon, että monet organisaatiot hyötyvät siitä, että ne käyttävät erilaisia lähestymistapoja eri aikoina. Voit aloittaa penetraatiotestauksella selvien puutteiden korjaamiseksi, siirtyä sitten red teaming , kun puolustus on kehittynyt, ja sisällyttää purple teaming osaksi jatkuvaa parannusprosessia.
Tärkeintä on sovittaa testaustapa nykyiseen tietoturvakypsyyteen ja erityistavoitteisiin. Tunkeutumistesti ei kerro paljon valmiuksistasi reagoida vaaratilanteisiin, mutta red team osallistuminen voi olla liikaa, jos et ole vielä korjannut perushaavoittuvuuksia.
Oikean valinnan tekeminen organisaatiollesi
Mielestäni hyödyllisintä on kysyä itseltäsi, mitä oikeastaan haluat oppia. Yritätkö löytää teknisiä haavoittuvuuksia? Testaatko tiimisi reagointitaitoja? Rakentaa sisäisiä valmiuksia yhteistoiminnallisen oppimisen avulla?
Vastauksesi pitäisi ohjata valintaasi. Muista, että tämän ei tarvitse olla kertaluonteinen päätös. Kun tietoturvaohjelmasi kehittyy, myös testaustarpeesi muuttuvat.
Ehkä tärkeintä on, että testaat jotain muuta kuin automaattisia skannauksia ja tarkistuslistoja. Valitsitpa sitten penetraatiotestauksen, red teaming tai purple teaming, otat askelia kohti ymmärrystä siitä, miten organisaatiosi toimii todellisia uhkia vastaan.
Organisaatiot, jotka onnistuvat tässä oikein, aloittavat yleensä yhdellä lähestymistavalla ja kehittävät testausstrategiaansa tietoturvaohjelman kypsyessä. Ne pystyvät vastaamaan hallituksen kysymyksiin ROI:sta, koska ne ymmärtävät, mitä ne oikeastaan testaavat ja miksi.
Sovitetaan tavoitteesi oikeaan testiin.
Oikean arviointimenetelmän valinnalla on merkitystä riippumatta siitä, oletko luomassa ensimmäistä tietoturvaohjelmaasi vai testaamassa jo kehittynyttä ympäristöä. Jos et ole varma, mistä aloittaa tai haluat vain toisen mielipiteen, me autamme sinua valitsemaan oikean testausmenetelmän.