Toderelt.ru

ПК Журнал ТодерельТ
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Непрерывный анализ защищенности бизнеса

Сочетание услуг Positive Technologies по моделированию сложных атак и по повышению качества выявления угроз позволят гарантировано улучшить существующие подходы к защите бизнес-процессов и минимизировать возможный финансовый и репутационный ущерб от кибератак.

Тест на проникновение (penetration test, пентест) — классический метод оценки качества ИБ компании. Он проводится для того, чтобы выявить уязвимые места в элементах ИТ-инфраструктуры, продемонстрировать, как злоумышленники могут использовать уязвимости информационных систем, и сформировать рекомендации по устранению выявленных недостатков. Как правило, классический пентест проводят один-два раза в год.

Несмотря на все преимущества такого метода оценки, он малоэффективен, а его результаты быстро теряют актуальность. Причина в том, что инфраструктура компании меняется быстрее, чем проводится работа по устранению выявленных уязвимостей. Кроме того, многостраничные отчеты содержат только техническую информацию. Из-за этого трудно приоритизировать, какие уязвимости следует устранить в первую очередь, потому что нет четкого понимания, как они могут повлиять на бизнес-процесс компании. В итоге на этом процесс заканчивается, а недочеты и уязвимости так и остаются не исправленными.

Услуга Pentest 365 от Positive Technologies не только включает в себя все преимущества классического пентеста, но и предполагает непрерывное выявление наиболее критичных векторов кибератак на компанию.

Услуга Pentest 365 рассчитана на год. В течение года специалисты Positive Technologies непрерывно ведут ручной и инструментальный анализ внешнего периметра компании-заказчика. Задача экспертов выявить: как злоумышленник может проникнуть внутрь, закрепиться в инфраструктуре и получить максимальные привилегии. Услуга предполагает постоянный контроль за бдительностью команды SOC компании-заказчика. В процессе тестирования могут оговариваться и конкретные цели, связанные с бизнес-рисками заказчика.

Каждый месяц специалисты Positive Technologies предоставляют отчет о результатах тестирования и рекомендации по устранению выявленных проблем.

Красная, синяя и пурпурная команды

Понятия Red Team и Blue Team пришли из традиционного военного ремесла, и суть этих терминов нисколько не изменилась. Blue Team в контексте кибербезопасности означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры.

Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)

Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)

Согласно архитектуре адаптивной безопасности, которую предложило информационное агентство Gartner, задачи Blue Team делятся на следующие области:

  • Prevent — выстраивать систему защиты от уже известных атак;
  • Detect — выявлять новые (в том числе и ранее неизвестные) атаки и оперативно приоритизировать и обрабатывать инциденты;
  • Respond — вырабатывать ответные меры и политики реагирования на выявленные инциденты (на этом этапе крайне желательно, чтобы выявленные инциденты целой категорией отправлялись в блок Prevent);
  • Predict — прогнозировать появление новых атак с учетом меняющегося ландшафта угроз.
Читать еще:  Как отправить жалобу на продавца на AliExpress

Последний пункт с технической точки зрения и привносит настоящий челлендж в работу security-аналитика («Какое там прогнозирование, когда SIEM завален событиями и инциденты еще не разобраны?»). К этому блоку относятся мероприятия для оценки уровня защищенности, однако они же позволяют оценить эффективность процессов и на других стадиях.

Таким образом, задача Red Team сводится не к тому, чтобы «разнести» корпоративную инфраструктуру и доказать всем, что все плохо; а напротив — использовать анализ защищенности в качестве конструктивной меры для оценки существующих процессов и помощи Blue Team в их улучшении.

Во многих организациях, где процессы ИБ еще недостаточно зрелые либо бюджеты не позволяют расширять штат безопасников, задачи оценки защищенности решают специалисты Blue Team. А вот в крупных компаниях наступательные мероприятия передали Red Team. Это разделение, в частности, позволяет бизнесу эффективно оценивать бюджеты на информационную безопасность.

Изредка встречаются крупные компании, которые добавляют еще и команду Purple Team. Ее основная задача — в повышении эффективности взаимодействия синей и красной команд. «Пурпурные» эксперты помогают другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков. Однако при наличии эффективной коммуникации между Blue Team и Red Team необходимость в Purple Team вызывает сомнения.

Еще раз подчеркну. Цель всех этих команд — повышение уровня защищенности инфраструктуры. При этом:

  • Blue Team занята защитой инфраструктуры за счет реализации процессов адаптивной безопасности;
  • Red Team занимается эмуляцией действий атакующего, а также вырабатывает и реализует стратегии для оценки эффективности процессов защиты и непрерывно доставляет результаты команде Blue Team;
  • Purple Team, если она есть, вырабатывает эффективные меры для Blue Team с учетом экспертизы Red Team.

Выбирай свою пилюлю, исходя из личных интересов, но помни, что Red Team не означает «игры в хакеров» и какую-либо романтику. Более того, на мой взгляд, в задачах Blue Team куда больше реальных вызовов, потому что экспертам этой команды, в отличие от Red Team, надо быть начеку в режиме 24/7.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Читать еще:  Java (джава) для 32-разрядных браузеров - где скачать и как установить

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Денис Макрушин

Денис Макрушин

Специализируется на исследовании угроз и разработке технологий защиты от целевых атак. #InspiredByInsecure

Что такое Red team?

В симуляторе кибербезопасности Red team выступает в роли противника, пытающегося выявить и использовать потенциальные слабые места в киберзащите организации с помощью сложных методов атаки. Такие атакующие команды обычно состоят из опытных специалистов по безопасности или независимых этичных хакеров, которые занимаются тестированием на проникновение, имитируя реальные техники и методы атак.

Red team получает первоначальный доступ, как правило, путем кражи учетных данных пользователя или с помощью методов социальной инженерии. Попав в сеть, они повышают свои привилегии и перемещается по системам с целью проникнуть как можно глубже в сеть, извлечь данные и избежать обнаружения.

Blue team

In many ways, parenting and security have a lot in common. No book exists that provides all of the answers. There is no silver bullet, and both roles can be overwhelmingly stressful. Getting into the mind of the enemy, though, might be a little easier done than understanding the inner workings of the teenage mind.

Parents are the blue teams that want to know how susceptible their children are to life’s many temptations and pitfalls. The red teams, all of the possible dangers that could hurt a child, are those who want to get in. The greater challenge is for the blue team to protect their domain by finding that one vulnerability that can be exploited without putting too many limitations and restrictions on users.

There is only so much preparation a blue team can do without defeating the purpose of running a simulated attack. It should, however, do the following ahead of the exercise.

1. Understand the controls

What’s most important for blue teams, says Matt Rodgers, head of security strategy, E8 Security, «Especially around phishing and vishing, is the ability to understand what types of controls exist in their environment. I’ve seen people finding controls in their network as they go through an exercise.»

Читать еще:  Как переустановить Microsoft Edge в операционной системе Windows 10

2. Make sure you can collect and analyze the data

Because blue teams base their function off their ability to collect and make use of the data they collect, log management tools, like Splunk, are important tools. Rodgers says, «Another piece of the puzzle is understanding how to collect all the data of what the team has done and record it in a high enough fidelity in postmortem exercises to determine what they did right or wrong and how to do it better.»

3. Use the tools appropriate for the environment

The tools that blue teams need is determined by their environments. «They need to ask What is this program doing? Why would it try to format your hard drive? and then add technology that blocks unanticipated actions. The tools to test whether that technology was successful come from the red team,» said Michael Angelo, chief security architect, Micro Focus.

4. Have experienced members on the team

For the blue team, what is most valuable is the knowledge that people have in addition to tools. Angelo said, «As you get used to doing these things, you start to think, ‘I’ve seen that, I’ve seen that, they do this, they do that, but I wonder if there isn’t a hole.’ If you only prepare for the things that are known, then you won’t be prepared for the unknown.»

5. Assume there will be failures

Asking questions is an invaluable tool that will encourage exploration into the unknown. Angelo said, «Don’t stop at preparing for the things that exist today. Assume there will be failures in your infrastructure.»

That assumption, that there will be failures, that nothing is 100 percent secure, that we can no more create perfect children than we can perfect security might be the greatest tool anyone can find.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector