Методы киберпреступников становятся все более сложными и изощренными. Если группы безопасности будут работать вместе на ранних этапах тестирования безопасности, они смогут быстрее и эффективнее добиться большей безопасности.
Существует два основных пути проникновения киберпреступников в ИТ-инфраструктуру компании: через технические уязвимости в программном обеспечении и через человеческие уязвимости через неосторожное или некорректное поведение. Хорошо известно, что растет не только количество нападений, но и их серьезность.
Усложняется не только структура, но и используемые технические компоненты: искусственный интеллект и машинное обучение поддерживают распознавание шаблонов и профилей, например, с помощью интеллектуальных ботов, сканирующих социальные сети, форумы и веб-сайты. При так называемом «целевом фишинге» злоумышленники могут создавать электронные письма или сообщения, индивидуально адаптированные к целевому человеку, которые затем могут быть использованы для контрабанды конфиденциальных данных из сети компании без запуска механизмов мониторинга на основе поведения — их научил ИИ. от целевого человека. Методы становятся все более сложными и изощренными и учитывают как технические, так и человеческие уязвимости. Использование облачных технологий, Интернета вещей и мобильных вычислений увеличило поверхность атак, и компании столкнулись с растущей сложностью своей ИТ-среды. Классической защиты периметра уже недостаточно для обороны.
Красная команда: этический хакинг с точки зрения злоумышленника
Традиционные тесты на проникновение или сканирование уязвимостей обычно фокусируются на технических аспектах уязвимостей и исследуют только отдельные области ИТ-инфраструктуры. Они больше не отражают описанную сложность ИТ-среды и методов атак. Человеческий фактор здесь игнорируется. Однако в более целостном подходе Красной и Синей команды эксперты по безопасности используют методы военной стратегии: Красная команда действует с точки зрения атакующего. Перед ней ставится задача обойти меры безопасности и взломать конкретную систему, например, для получения конкретной информации. Для этого Красной команде приходится творчески сочетать различные векторы атак, включая социальную инженерию и фишинг. Этот подход подходит, если необходимо проверить весь уровень безопасности компании во всех системах, а не только отдельные компоненты системы. Это создает комплексное представление о возможных рисках и облегчает понимание уже произошедших атак. Такой подход может выяснить, эффективны ли принятые меры безопасности, и выявить новые уязвимости.
Синяя команда: разработка стратегии защиты
Если у Красной команды есть противник, так называемая Синяя команда, их задача — защищаться. Изначально неблагодарная задача, но она ясно показывает, где не хватает защитных мер и где сложно отслеживать инфраструктуру, особенно в отношении теневых ИТ, смартфонов или ИТ в домашних офисах. Целью является не обязательно отбиться от Красной команды, а скорее узнать больше об уровне безопасности и эффективности контрмер. На основе атакующего маневра и созданной им кризисной ситуации можно сделать целостные выводы с двух точек зрения Красной и Синей команд.
Повысьте ИТ-безопасность с помощью тестирования безопасности
Если в конце такого испытательного маневра не только подводятся итоги с обеих сторон, но и обе команды сотрудничают, мы говорим о Пурпурной команде. Здесь обе стороны делятся результатами в ходе маневра. Например, после первоначального анализа уязвимостей красная команда может сообщить об обнаруженном ею пробеле в безопасности, экономя время и силы синей команде, которой в противном случае пришлось бы проверять все потенциальные бреши и, возможно, излишне усиливать механизмы безопасности в неправильных местах. Быстрый обмен информацией может защитить от плохих инвестиций и более эффективно привести к разработке подходящего плана действий. Совместный подход также способствует открытой культуре ошибок, поскольку команды не сражаются друг с другом «до победного конца», а скорее работают вместе над решением.
Хакерство и человеческий фактор: повышение осведомленности и обучение сотрудников
Социальная инженерия, такая как фишинг, использует стрессовые ситуации сотрудников, в которых они часто действуют необдуманно и не идентифицируют индивидуализированное ИИ сообщение как атаку. Никакие меры безопасности, какими бы хорошими они ни были, не смогут предотвратить такую атаку. Лучший способ сделать это — тренировать внимание сотрудников и всегда поддерживать его на высоком уровне. Это касается не только перед приступом, но и при возникновении нарушений на рабочем месте. В среднем, согласно отчету IBM о стоимости утечки данных за 2019 год, на обнаружение утечки данных требуется 206 дней и еще 73 дня на ее сдерживание. Регулярная тестовая рассылка фишинговых писем может выявить уязвимости и тем самым повысить бдительность, особенно в компаниях с конфиденциальными медицинскими или исследовательскими данными.
Однако выявление уязвимостей и подходящие контрмеры в лучшем случае должны быть лишь частью общей стратегии киберустойчивости, которая также включает методы восстановления и непрерывности бизнеса. Это, в свою очередь, следует понимать как постоянный цикл, а не как завершенный проект. Чем целостнее и комплекснее все процессы скоординированы между собой, тем лучше компании защищены от атак.