Від пентесту до Red Teaming: як працюють рішення для тестування безпеки

Керівники відділу безпеки повинні чітко розуміти, де можуть бути слабкі місця в захисті. Ці знання потрібні серед іншого для того, щоб ухвалювати обгрунтовані рішення щодо розподілу бюджету. Спроба купити цілу низку різнопланових рішень, сподіваючись закрити прогалини наосліп, приречена на провал. Тому, щоб розумно інвестувати у безпеку, необхідно мати уявлення про актуальний стан захисту.

Оцінка кіберстійкості – один із пріоритетів сучасних команд з інформаційної безпеки. Ринок пропонує масу інструментів, методів та процесів – потрібно тільки обрати свій.

Пропонуємо розгляд чотирьох основних інструмента для перевірки стану безпеки від фахівців БАКОТЕК - що являє собою кожне рішення, які в нього особливості і яке з них втілює кожну з названих технологій

Управління вразливістю

Управління вразливістю – класичний засіб, що дозволяє перевірити стан вашого захисту.

Більше ніж 25 років на ринку кібербезпеки вказують на багатий накопичений досвід, а незгасна актуальність – на ефективність цієї технології.

Рішення для управління вразливістю перевіряють інфраструктуру на наявність вразливостей мережі та додатків. Завдяки їм ви не тільки бачите, що не так у вашому середовищі, але й можете керувати процесом усунення несправностей.

Хоча фахівці з кібербезпеки часто попереджають про потенційні вразливості, далеко не всі компанії охоче їх усувають. Технологія управління вразливістю бере це завдання на себе, допомагаючи оперативно виявити прогалини у безпеці. У режимі реального часу команди безпеки отримують інформацію про потенційні вразливості. Ба більше, деякі сучасні рішення навіть надають можливість прогнозованої пріоритезації – штучний інтелект повідомляє, де є висока ймовірність появи нового пролому.

Приклад рішення

Tenable – виробник рішень, якому довіряють близько 40 000 організацій у всьому світі. Компанія розробила платформу управління ризиками для актуальної поверхні атаки. Також у портфоліо Tenable – цілий список рішень для оцінки кіберризиків та захисту від загроз, як для on-prem, так і для хмари.

Frontline – SaaS-рішення від компанії Fortra, яке допомагає ефективно керувати вразливістю. Продукт простий у використанні та надає точну інформацію щодо стану безпеки компанії. Frontline допомагає розставити пріоритети та відстежити результати, роблячи захист більш надійним.

Пентест

Пентест, або тестування на проникнення, є популярним методом для перевірки стану безпеки компаній.

Пентест можна проводити як самостійно, так і з залученням третьої сторони (наприклад, компанії, яка спеціалізується на таких тестуваннях). Самостійне тестування дозволяє зберігати контроль над ситуацією та не допускати сторонніх осіб до своєї інфраструктури. Водночас довірені пентест-фахівці з іншої компанії використовують той же широкий асортимент інструментів і методів, що і реальні хакери.

Пентест дає повнішу картину стану безпеки. Він перевіряє, наскільки система готова до справжньої кібератаки та відображає стан захисту у певний момент часу.

Багато стандартів (наприклад, PCI DSS) потребують регулярного проведення пентестів. Зазвичай мається на увазі щомісячне, щоквартальне або щорічне тестування протягом обмеженого періоду, достатнього для виявлення змін у ландшафті загроз.

Як правило, зона роботи пентестерів зазвичай наперед обговорюється. Наприклад, якщо ви проводите пентест для інфраструктури обробки платежів за кредитними картками, ви не отримаєте повну картку загального контролю безпеки.

Після завершення тестування пентестери складають звіт про виявлені проблеми та вразливості, а ви вирішуєте, як діяти далі.

Приклад рішення

Core Impact – рішення для організації та проведення самостійних пентестів, яке допомагає виявляти й усувати всі проломи в захисті. Core Impact використовується для перевірки захищеності серверів, кінцевих точок, бездротових мереж, вебзастосунків, а також мережевих та мобільних пристроїв.

Red teaming

Атака «червоної команди»‎ (Red Teaming) – це складніша і комплексна версія тестування на проникнення.

Процес відбувається в такий спосіб. Міждисциплінарна команда експертів з кібербезпеки намагається обійти ваш захист та отримати конфіденційну інформацію всіма можливими засобами. Завдання полягає не тільки у виявленні слабких місць у конкретній системі або обході заходів безпеки, але й у тому, щоб думати та діяти як реальні хакери. Досвідчена червона команда забезпечує широке та детальне розуміння того, наскільки ваша компанія готова до загроз – жодне інше рішення для перевірки безпеки не дає такого повного уявлення.

«Червона команда» не працює самостійно – з нею в парі завжди є команда внутрішньої безпеки організації (синя команда, або Blue Team). Вона отримує від білих хакерів чіткі рекомендації щодо подальшого покращення заходів безпеки, щоб підготувати компанію та запобігти зловживанню виявленими вразливостями реальними злочинцями.

Приклад рішення

Cobalt Strike – допоміжний інструмент для білих хакерів, який дозволяє моделювати реальні загрози та допомагає «червоній команді» безперешкодно проводити постексплуатаційні завдання. В основі рішення – прихований агент і база атакувальних скриптів, що регулярно оновлюються.

Моделювання зломів та атак (BAS)

Моделювання зломів та атак (BAS) – це найновіший підхід у сфері тестування безпеки.

Принципи роботи BAS (Breach and Attack Simulation) схожі на Red Teaming. Рішення використовує реальну та задокументовану поведінку загроз як основу для виявлення та визначення пріоритетів у безпеці. BAS відрізняється тим, що автоматично імітує цю поведінку, постійно сповіщаючи вас про вашу готовність до нових загроз.

Оскільки ринок BAS є відносно новим і менш зрілим у порівнянні з описаними раніше рішеннями, можуть існувати певні відмінності в тому, як різні постачальники визначають BAS.

Ключові характеристики BAS-рішення такі:

• Повинне відповідати ландшафту загроз і використовувати новітні аналітичні дані про загрози, що постійно оновлюються.

• Повинне проводити безперервну перевірку безпеки 24/7, 365 днів на рік.

• Повинне враховувати наявні можливості контролю, щоб фахівці безпеки не витрачали зайвий час на помилкові сигнали.

• Повинне пропонувати інструкції щодо пом'якшення наслідків для кожної конкретної загрози. Всі інструкції базуються на наявних технологіях виявлення та запобігання (наприклад, правила виявлення для вашої SIEM-системи).

• Повинне сприяти ефективному спілкуванню та співпраці між зацікавленими сторонами (подібно до роботи червоної та синьої команд).

Важливо зважати на те, що BAS не призначений для повної заміни інших рішень. Ефективне тестування безпеки передбачає використання конкретних інструментів та методів у правильному контексті. Однак, коли йдеться про баланс між швидкістю виявлення та захистом від реальних загроз, BAS створює дуже ефективну основу загальної стратегії перевірки безпеки.

Приклад рішення

Picus – новатор у технології BAS. Це комплексна платформа, яка дає змогу залишатися в курсі актуальних подій безпеки у вашій компанії. Рішення перевіряє та контролює стан безпеки, підвищуючи кіберстійкість та мінімізуючи ризик інцидентів. Picus симулює актуальні атаки, оцінюючи наявні засоби безпеки, щоб виявити проломи та запобігти загрозам. Після перевірки рішення надає рекомендації щодо пом'якшення наслідків інцидентів.

Висновок

Регулярний моніторинг стану безпеки – не забаганка чи швидкоплинний тренд, а необхідність для впевненості у своєму захисті. Комбінуючи кілька інструментів та підходів, ви зможете значно підвищити рівень своєї безпеки та не перейматися, що якісь прогалини залишилися поза вашим полем зору.

Вище розглянуто чотири ключові способи тестування безпеки. Спробуйте скористатися ними окремо чи разом – створіть свій оптимальний набір інструментів, який задовольнить ваші запити.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365