ИТ-безопасность является частью обязательной программы каждой компании. Кибератаки могут парализовать целые компании и нанести значительный ущерб. Чтобы устранить уязвимости и предотвратить кибератаки, компаниям следует всегда следить за своей ИТ- и физической безопасностью. Для этого подходят различные процедуры тестирования безопасности.
Это происходит снова и снова: хакеры получают несанкционированный доступ к ИТ-системам компании, устанавливают вредоносное ПО, а затем за короткий промежуток времени они украли важные данные, зашифровали ИТ-системы или шпионят за компанией. Если злоумышленникам удастся получить доступ даже к зданию компании, перед ними открыты дальнейшие двери – для кражи оборудования или кражи данных непосредственно на объекте. Ущерб высок во всех случаях, как в кадровом плане (поскольку персональные данные обрабатывались неуполномоченными лицами), так и в финансовом плане, когда приходится вкладывать средства в новое оборудование.
Рост кибератак в последние годы способствовал тому, что ИТ-безопасности в компаниях уделяется все больше внимания. Чтобы проверить, насколько безопасна ИТ-система компании, проводятся различные методы тестирования: автоматическое тестирование, тестирование на проникновение, Red Teaming и Purple Teaming.
Преимущества автоматизированного тестирования программного обеспечения
Во-первых, компания должна провести автоматизированное тестирование. Автоматическое сканирование каталогизирует интернет-соединения и внутренние активы компании и выявляет возможные уязвимости. Эти сканирования можно выполнять в любое время, не прерывая работу.
Автоматизированное тестирование является обязательным условием для тестирования на проникновение и других сложных процедур. Эти испытания могут быть использованы для установления стандартов безопасности и установления ориентиров для дальнейшего развития. В зависимости от ресурсов, рабочей нагрузки и опыта компания может провести эти тесты самостоятельно или нанять внешнюю команду экспертов для проведения тестов удаленно или на месте в сотрудничестве с ИТ-отделом.
Пентест – имитация чрезвычайной ситуации
Тестирование на проникновение также включает в себя определенную степень автоматизированных процедур. Но реальная ценность этого подхода проявляется, когда специалисты по безопасности сочетают эту автоматизацию с передовыми инструментами, ручными тактиками и собственным опытом, чтобы понять, какие пути злоумышленник может использовать для компрометации своей целевой среды.
В то время как более простые автоматизированные тесты обычно выявляют потенциальные уязвимости, тесты на проникновение показывают, как эти уязвимости могут привести к компрометации. Используются различные методы, такие как электронная социальная инженерия, подбор паролей, уязвимости системы безопасности, детальный анализ приложений на сетевом уровне и атаки на устаревшие протоколы.
Поскольку в прошлом эта процедура могла предотвратить многие атаки, компаниям следует регулярно проводить тесты на проникновение, чтобы обнаружить возможные уязвимости на ранней стадии и иметь возможность реализовать контрмеры.
Red Teaming: целенаправленная атака проверяет защиту
«Красная команда» — одна из самых зрелищных процедур тестирования, которую часто можно увидеть по телевидению. Здесь эксперты по безопасности в составе красной команды запускают целевую атаку, чтобы поставить под угрозу ИТ-инфраструктуру. В отличие от пентестов, которые зачастую все еще в значительной степени автоматизированы, эксперты красной команды используют весь спектр приемов, которые используют настоящие злоумышленники. К ним относятся:
- Разведка с открытым исходным кодом (OSINT), которая собирает общедоступную информацию о компании и ее сотрудниках; OSINT может исходить из неожиданных источников, таких как LinkedIn, Facebook, Twitter или другие каналы социальных сетей, поскольку сотрудники иногда раскрывают больше, чем они осознают, в таких, казалось бы, безобидных местах;
- Сообщения о фишинге и компрометации деловой электронной почты (BEC), адаптированные к конкретным получателям с использованием информации из OSINT и других источников;
- Онлайн- и офлайн-социальная инженерия для использования недостаточной осведомленности сотрудников и тестирования физической инфраструктуры компании;
- Использование неправильных конфигураций и существующих уязвимостей, которые не были устранены существующими продуктами безопасности, а также использование тактических методов и процедур, используемых реальными злоумышленниками.
В ходе этих процедур тестирования Синяя команда, состоящая из сотрудников службы безопасности компании, должна обнаружить и остановить атаку Красной команды. Синие команды обычно работают с ограниченной информацией, как и в реальной атаке. Они не знают, когда произойдет атака и какие системы будут нацелены, а иногда они не знают, что это всего лишь учения Красной команды. По этой причине такой подход подходит только компаниям, которые способны сами построить эффективную защиту. В других случаях эксперты по безопасности могут работать с компаниями, чтобы использовать их сильные стороны и тем самым обеспечить возможность создания красной команды.
Фиолетовая команда: сосредоточьтесь на конкретных болевых точках.
Многие люди, занимающиеся ИТ-безопасностью, знакомы с красными командами; лишь немногие люди знают Purple Teams. Фиолетовые команды сочетают в себе функции красных и синих команд и атакуют определенные системы заранее определенными способами, что позволяет лидерам бизнеса совершенствовать свои подходы к защите. В отличие от красных команд, ответственные за фиолетовые команды знают, когда произойдет атака и на какие системы будут нацелены фиолетовые команды.
Фиолетовая команда может быть полезна, когда компания хочет сосредоточиться на поиске наилучшего способа устранения уязвимостей. Обмен информацией до и во время фиолетовой команды обучает ответственных за безопасность конкретным навыкам. Они основаны на знании инструментов и методов, используемых злоумышленниками, а также на возможных ожиданиях киберпреступников.
