Cyber prijetnje se intenziviraju, a cyber sigurnost je postala kritična za poslovanje. Kako budžeti za sigurnost rastu, izvršni direktori i odbori traže konkretne dokaze da inicijative za cyber sigurnost donose vrijednost izvan usklađenosti s propisima.
Baš kao što ne biste kupili automobil a da ne znate da je prvi put prošao test sudara, sigurnosni sistemi takođe moraju biti potvrđeni kako bi se potvrdila njihova vrijednost. Sve je veći pomak ka validaciji sigurnosti jer omogućava cyber praktičarima da sigurno koriste stvarne eksploatacije u proizvodnim okruženjima kako bi precizno procenili efikasnost svojih sigurnosnih sistema i identifikovali kritična područja izloženosti, u velikom obimu.
Sastali smo se sa Shawnom Bairdom, pomoćnim direktorom ofanzivne sigurnosti i crvenog tima u DTCC-u, kako bismo razgovarali o tome kako efektivno prenijeti poslovnu vrijednost njegovih praksi i alata za provjeru valjanosti sigurnosti svom višem rukovodstvu. Evo detalja o tome kako je Shawn napravio prostor za platforme za provjeru sigurnosti u okviru svog ionako malog budžeta i kako je preveo tehničku sigurnosnu praksu u opipljive poslovne rezultate koji su doveli do odluka o kupovini u korist njegovog tima.
Imajte na umu da su svi odgovori u nastavku isključivo mišljenja Shawn Bairda i ne predstavljaju uvjerenja ili mišljenja DTCC-a i njegovih podružnica.
P: Kakvu vrijednost provjera sigurnosti donosi vašoj organizaciji?
Sigurnosna validacija se odnosi na stavljanje vaše odbrane na test, ne protiv teoretskih rizika, već stvarnih tehnika napada u stvarnom svijetu. To je pomak s pasivnih pretpostavki sigurnosti na aktivnu validaciju onoga što funkcionira. To mi govori u kojoj mjeri naši sistemi mogu da izdrže iste taktike koje danas koriste cyber kriminalci.
Za nas u DTCC-u, već dugo radimo provjeru sigurnosti, ali smo tražili tehnologiju koja bi služila kao pojačalo performansi. Umjesto da se oslanjamo samo na skupe, visoko kvalifikovane inženjere za izvođenje ručnih validacija u svim sistemima, mogli bismo fokusirati naše elitne timove na visokovrijedne, ciljane vježbe crvenog tima. Automatska platforma ima ugrađeni sadržaj TTP-ova za provođenje testova, pokrivajući tehnike kao što su Kerberoasting, mrežno skeniranje, brutalno prisiljavanje itd., oslobađajući tim od potrebe da ovo kreira. Testovi se izvode čak i van redovnog radnog vremena – tako da nismo ograničeni na standardne prozore za testiranje.
Ovakav pristup je značio da ne opterećujemo naše sigurnosno osoblje na zadatke koji se ponavljaju. Umjesto toga, mogli bi se fokusirati na složenije scenarije napada i kritična pitanja. Pentera nam je dala način da održavamo stalnu validaciju u cijelosti, bez sagorijevanja naših najvještijih inženjera na zadacima koji se mogu automatizirati.
U suštini, postao je multiplikator snage za naš tim. To ide dug put u poboljšanju naše sposobnosti da ostanemo ispred prijetnji uz optimiziranje korištenja naših vrhunskih talenata.
P: Kako ste opravdali ROI ulaganja u platformu za automatsku provjeru sigurnosti?
Prije svega, vidimo direktno povećanje produktivnosti našeg tima . Automatizacija dugotrajnih ručnih procjena i zadataka testiranja promijenila je igru. Prebacivanjem ovih ponavljajućih i napornih zadataka na Penteru, naši vješti inženjeri mogli bi se fokusirati na složeniji posao. I bez potrebe za dodatnim brojem zaposlenih mogli bismo značajno proširiti opseg testiranja.
Drugo, u mogućnosti smo da smanjimo troškove izvođača trećih strana . Tradicionalno smo se u velikoj mjeri oslanjali na vanjske stručne izvođače, što može biti skupo i često ograničeno po obimu. Sa ljudskom stručnošću ugrađenom u platformu kao što je Pentera, smanjili smo našu ovisnost o skupim uslugama. Umjesto toga, imamo interno osoblje – analitičare sa manje stručnosti – koji sprovode efikasne testove.
Konačno, postoji jasna korist od smanjenja rizika . Kontinuiranim provjeravanjem našeg sigurnosnog stava možemo značajno smanjiti vjerovatnoću kršenja i potencijalne troškove kršenja, ako do njega dođe. IBM-ov izvještaj o troškovima kršenja podataka za 2023. to potvrđuje, izvještavajući o smanjenju troškova kršenja za 11% za organizacije koje koriste proaktivne strategije upravljanja rizikom. Sa Penterom smo postigli upravo to – manje izlaganja, brže otkrivanje i bržu sanaciju – što je sve doprinijelo smanjenju našeg ukupnog profila rizika.
P: Koje su bile neke od internih prepreka ili prepreka na koje ste naišli?
Jedna od ključnih prepreka s kojima smo se suočili bilo je trenje zbog odbora za arhitektonski pregled. Razumljivo, bili su zabrinuti zbog pokretanja automatiziranih eksploatacija na našoj mreži, iako je platforma ‘sigurna po dizajnu’. Ideja izvođenja napada u stvarnom svijetu u proizvodnim okruženjima može biti uznemirujuća, posebno za timove odgovorne za stabilnost kritičnih sistema.
Da bismo ovo riješili, koristili smo fazni pristup. Počeli smo pokretanjem platforme na smanjenoj površini napada, ciljajući manje kritične sisteme kako bismo demonstrirali njenu sigurnost i efikasnost. Zatim smo proširili njegovu upotrebu tokom angažovanja crvenog tima, pokrenuvši ga zajedno sa našim postojećim procesima testiranja. Vremenom, postepeno proširujemo opseg, dokazujući pouzdanost i sigurnost platforme u svakoj fazi. Ovo postepeno uvođenje pomoglo je u izgradnji povjerenja bez rizika od velikih poremećaja, tako da je sada povjerenje u platformu prilično dobro uspostavljeno.
P: Kako ste rasporedili sredstva?
Dodijelili smo sredstva za Penteru u okviru iste stavke kao i naši crveni timski alati, grupirani s drugim rješenjima kao što su Rapid7 i skeneri ranjivosti. Pozicioniranjem uz uvredljive sigurnosne alate, proces budžetiranja je ostao jednostavan.
Posebno smo pogledali našu cijenu za procjenu podložnosti našeg okruženja napadima ransomware-a. Ranije smo trošili 150.000 dolara godišnje na skeniranje ransomwarea, ali s Penterom smo mogli češće testirati uz isti budžet. Ova preraspodjela sredstava imala je smisla jer je pogodila naše ključne kriterije, spomenute ranije: poboljšanje produktivnosti povećanjem naših kapaciteta za testiranje bez potrebe za zapošljavanjem, i smanjenje rizika češćim i većim testiranjem. Smanjenje šansi za napad ransomware-a i ograničavanje štete ako do njega dođe.
P: Koja su druga razmatranja došla u obzir?
Nekoliko drugih faktora je uticalo na našu odluku da investiramo u automatizovanu provjeru sigunosti. Zadržavanje zaposlenih je bilo veliko. Kao što sam već rekao, automatizacija zadataka koji se ponavljaju omogućila je našim stručnjacima za cyber sigurnost da budu usredotočeni na izazovniji i učinkovitiji posao, za koji vjerujem da nam je pomogao da zadržimo njihov talenat.
Poboljšanje sigurnosnih operacija je još jedna stvar. Pentera nam pomaže da osiguramo da su naše kontrole pravilno podešene i potvrđene, također pomaže u koordinaciji između crvenih timova, plavih timova i SOC-a.
Sa stanovišta usklađenosti, olakšalo je prikupljanje dokaza za revizije – što nam je omogućilo da prođemo kroz proces mnogo brže nego što bismo inače. Konačno, cyber osiguranje je još jedna oblast u kojoj je Pentera dodala dodatnu finansijsku vrijednost omogućivši nam da smanjimo naše premije.
P: Savjeti drugim stručnjacima za sigurnost koji pokušavaju dobiti budžet za sigurnu validaciju?
Vrijednost performansi automatske provjere sigurnosti je jasna. Većina organizacija nema interne resurse za vođenje zrelog crvenog tima. Bilo da imate mali sigurnosni tim ili zrelu ofanzivnu sigurnosnu praksu kao što to radimo u DTCC-u, vrlo je vjerovatno da nemate dovoljno resursa stručnjaka za sigurnost da izvršite potpunu procjenu. Ako ne pronađete ništa, nema dokaza o malicioznom insajderu u vašoj mreži, ne možete pokazati otpornost – što otežava postizanje usklađenosti s propisima.
Uz Pentera, imate ugrađene TTP-ove, koji vam daju direktan put da procijenite koliko dobro vaša organizacija odgovara na prijetnje. Na osnovu te validacije možete ojačati svoju infrastrukturu i adresirati otkrivene ranjivosti.
Alternativa – ne raditi ništa – daleko je rizičnija. Cijena kršenja može dovesti do ukradene IP adrese, izgubljenih podataka i potencijalnog gašenja operacija. S druge strane, cijena alata donosi bezbrižnost znajući da ste smanjili svoju izloženost prijetnjama iz stvarnog svijeta i sposobnost da bolje spavate noću.
Izvor:The Hacker News
