Задачи защиты от нарушений кибербезопасности становятся все более сложными, поскольку ландшафт угроз продолжает развиваться, векторы угроз расширяются, а инструменты и методы злоумышленников, используемые для запуска атак, становятся все более изощренными.
Объедините расширяющийся ландшафт угроз с неотъемлемыми проблемами управления безопасностью в распределенной гибридной/мультиоблачной архитектуре, которая в значительной степени полагается на надежное и высокоскоростное соединение для людей и вещей, и задача киберзащиты становится еще более сложной.
По оценкам IDC, предприятия во всем мире тратят более 100 миллиардов долларов на продукты и услуги для обеспечения безопасности, чтобы защитить себя от киберугроз. Демонстрация эффективности расходов на кибербезопасность является приоритетом для руководителей компаний и совета директоров, однако количественная оценка и обоснование соответствующего уровня затрат по-прежнему является проблемой для большинства групп корпоративной безопасности. Изыскание дополнительных долларов для продолжения создания надежной системы безопасности затруднено на фоне увеличения числа кибернетических нарушений, которые нанесли значительный репутационный и финансовый ущерб компаниям в самых разных отраслях.
По мере того как организации ищут способы продемонстрировать эффективность своих расходов на безопасность, а также политики и процедуры, применяемые для устранения угроз безопасности и реагирования на них, тестирование уязвимостей может стать важным компонентом деятельности группы безопасности по управлению уязвимостями.
Традиционные подходы к управлению уязвимостями
Большинство предприятий внедрили ту или иную форму управления уязвимостями в своей среде. После проведения тщательной оценки киберрисков, чтобы лучше понять, где существуют самые высокие (или наиболее значимые) риски для бизнеса, делаются инвестиции в меры безопасности, разрабатываются политики и процессы для управления рисками. Тестирование управления уязвимостями обычно является следующим шагом, предпринимаемым для проверки эффективности мер безопасности, установленных для управления киберрисками.
Следует отметить, что, хотя эффективность технологий безопасности находится в центре внимания, более широкий подход к тестированию, включающий человеческий фактор (политики и процедуры), обеспечивает более целостную и реалистичную оценку состояния безопасности организации.
Существует несколько подходов к тестированию, которые организации используют в рамках своей практики управления уязвимостями. Четыре из наиболее распространенных перечислены ниже:
Тестирование на проникновение (также известное как пентест) — это распространенный подход к тестированию, используемый предприятиями для обнаружения уязвимостей в вашей инфраструктуре. В пентесте участвуют высококвалифицированные специалисты по безопасности, использующие инструменты и методы атаки, применяемые фактическими злоумышленниками для достижения конкретной заранее определенной цели взлома. Тест на проникновение охватывает сети, приложения и конечные устройства.
Red Teaming — красная команда выполняет «этический взлом», имитируя продвинутого субъекта угрозы, используя скрытые методы, подрывая установленные защитные меры контроля и выявляя пробелы в стратегии киберзащиты организации, чтобы лучше понять, как организация обнаруживает атаки в реальном мире и реагирует на них. Результаты «красной команды» помогают определить необходимые улучшения в мерах безопасности.
Blue Teaming — это внутренняя команда безопасности, которая защищает как от реальных злоумышленников, так и от действий красной команды. Синие команды следует отличать от стандартных команд безопасности, поскольку их задача — обеспечивать постоянную и непрерывную киберзащиту от всех форм кибератак.
Purple Teaming — цель фиолетовой команды состоит в согласовании действия красных и синих команд и извлечении выгоды из этих действий, чтобы обеспечить сквозную и реалистичную работу APT и определить приоритетные уязвимости для организации.
Хотя эти подходы к тестированию уязвимостей обычно используются организациями, с ними связано несколько проблем. Во-первых, эти подходы требуют большого количества ручного труда и ресурсов, что для многих организаций приводит к высокой стоимости и нехватке квалифицированных внутренних ресурсов для выполнения этих тестов. Хотя результаты этих тестов на уязвимость предоставляют организации жизненно важную информацию, которую можно использовать, они выполняются нечасто, в основном из-за стоимости и отсутствия квалифицированных ресурсов, упомянутых ранее.
Наконец, все эти методы позволяют получить представление о состоянии безопасности организации на определенный момент времени, что становится менее эффективным для компаний, переходящих на более динамичную облачную ИТ-архитектуру с растущим разнообразием конечных точек и приложений. В результате традиционные подходы к тестированию уязвимостей приносят очень мало пользы, поскольку ландшафт безопасности и корпоративные ИТ-архитектуры динамичны и постоянно меняются.
Введите атаки взлома и моделирование (Breach Attack and Simulation (BAS))
Несмотря на то, что предложения BAS охватывают большую часть того, что включает в себя традиционное тестирование уязвимостей, они очень сильно отличаются. На высоком уровне основными функциями BAS являются:
- Атака (имитация реальных угроз)
- Визуализация (см. Экспозиции)
- Расстановка приоритетов (присвоение рейтинг серьезности или критичности эксплуатируемым уязвимостям)
- Исправление (устранение пробелы)
В чем BAS отличается от традиционных подходов, так это в использовании автоматизации с обратной связью, которая позволяет командам ИТ/безопасности оценивать среду на предмет индикаторов угроз и поведения атак, незащищенных активов, неправильных конфигураций, человеческих ошибок, пропусков в журналах и основных проблем ИТ-гигиены. Вооружившись этой информацией, сотрудники службы безопасности могут предпринять рекомендуемые действия, чтобы закрыть пробелы, исправить неправильные конфигурации, усилить управление учетными данными.
Другим ключевым отличием BAS является разнообразие способов проведения теста на уязвимость. Варианты тестирования включают: по запросу, непрерывно или с заданными интервалами. Это дает группам безопасности гораздо большую гибкость в выборе частоты, с которой они могут проводить тесты на уязвимости.
Заключение
IDC считает, что BAS предоставляет предприятиям надежный набор функций и возможностей, которые не только помогают проверить эффективность введенных мер безопасности, но и позволяют применять более проактивный подход к киберзащите за счет автоматизации. Это стало общей темой в службах безопасности, где цель повышения киберустойчивости основана на способности непрерывно контролировать среду на предмет угроз в упреждающем режиме и ускорять время на устранение проблем, чтобы минимизировать влияние на бизнес. Впоследствии мы считаем, что BAS станет важным компонентом стратегии киберзащиты предприятия.
.jpg)
.jpg)
.png)