تست هدفمند، تست مبتنی بر مأموریت یا مبتنی بر هدف، و اعتبارسنجی کنترلهای مستمر، عملکرد مهمی از دفاع سایبری است تا ثابت کند که کنترلهای امنیتی همانطور که انتظار میرود از داراییهای حیاتی محافظت میکنند. علاوهبر این، دادههای اعتبارسنجی میتواند برای اثبات اینکه سرمایهگذاریهای امنیتی ارزش مورد انتظار را فراهم میکنند، استفاده شود. تست هدفمند گزارشی از وضعیت امنیتی سازمان، در صورت کاهش ریسک و میزان مطلوب بودن سازمان در شناسایی تهدید را امکانپذیر میکند. اعتبارسنجی امنیتی نه فقط به عنوان گزارشی در لحظه، بلکه به عنوان تلاشی مستمر و پایدار نقش بسیار مهمی در امنیت سازمان دارد. اعتبارسنجی کنترلهای مستمر و خودکار به تیمهای امنیتی اجازه میدهد شکافها، موارد اضافی، زمینههای بهبود و توانایی اندازهگیری پیشرفتها را در طول زمان شناسایی کنند.
اعتبارسنجی امنیتی دادههای کمی را برای هدایت تصمیمگیری کسبوکار، محل سرمایهگذاری، و فرصتهایی برای صرفهجویی در هزینهها و در عین حال حفظ سطح مناسب ریسک برای کسبوکار فراهم میکند. اعتبارسنجی همچنین افراد و فرآیندها را با فعالیتهای دشمن شبیهسازی شده تمرین میدهد. تا این مرحله، آزمایشهای هدفمند و اعتبارسنجی کنترلهای مستمر به یک امر ضروری تجاری تبدیل شده است.
درک سطح حمله
برای تعیین درست کنترلهایی که باید تست شوند و ارزیابی داراییهای حساس، سازمانها باید از سطح حمله فعلی خود آگاه شوند. به طور سنتی، درک سازمان از سطح حمله به معنای جمعآوری لیستی از منابع خارجی است، مانند محدوده IP / Netblock، برنامههای کاربردی وب، سرورهای VPN و خدمات مدیریت از راه دور خارجی. این لیستها اغلب به صورت دستی جمعآوری میشوند و در صفحات گسترده وجود دارند.
مجموعه دیگری از منابع حیاتی که بهطور معمول از فهرست منابع در سطح حمله نادیده گرفته میشوند یا حذف میشوند عبارتند از:
- پایگاه داده خارجی و خدمات دسترسی از راه دور
- حسابهای توسعه دهندهگان در سایتهایی مانند Github یا Gitlab
- محیطهای staging و QA
- فضاهای ذخیرهسازی ظاهری یا blob در یک محیط ابری که در سمت خارج از سازمان قابل مشاهده هستند
- حسابهای سرویس که برای سیستمهای خارجی استفاده میشوند
- نرمافزارهای کاربردی یا سرویسهای شبکه کمتر شناخته شده که به اینترنت ارتباط دارند
- سیستمهای ایمیل ثانویه که میتوانند برای تحویلPlayloadهای بدون فیلتر محتوا استفاده شوند
کشف منابع فوق میتواند از طریق درک محیط، ابزارهای مدیریت منابع شخص ثالث و اسکریپتهای اجرا شده علیه سازمان رخ دهد. مدیریت سطح حمله جایگزین مدیریت آسیبپذیری نمیشود یا نیاز به تست نفوذ را برطرف نمیکند، اما دامنه و زمینهای را برای این تلاشها فراهم میکند.
فراتر از نقض و شبیهسازی حمله
تست حمله هدفمند فراتر از شبیهسازی نقض و حمله (BAS) است تا جدیدترین هوش تهدید را برای انجام حملات معتبر و فعال علیه دفاع یک سازمان ترکیب کند. هدف از تست حمله هدفمند، ارزیابی اثربخشی کنترلها و عملیات امنیتی فعلی یک سازمان است. انواع تست فنی شامل تست نفوذ، تیم قرمز، تیمهای آبی و تیمهای بنفش است.
تست نفوذ، نوعی تست سیستماتیک دفاعی و منابع حیاتی است که برای تعیین دقیق و کاهش آسیبپذیریها و پیکربندی نادرست سیستم امنیتی انجام میشود. تسترهای نفوذ از TTPهای مهاجم دنیای واقعی علیه سیستمها، برنامهها، دستگاههای تعبیهشده، سیستمهای کنترل صنعتی و حتی علیه افرادی که از مهندسی اجتماعی استفاده میکنند استفاده میکنند. هدف از تست نفوذ تعیین این است که آیا منابع حیاتی در معرض خطر هستند یا خیر که شناسایی آسیبپذیریهای امنیتی نیز عملی پیچیده است.
تیم قرمز کارایی امنیتی را برای به دست آوردن درک درستی از نقاط ضعف سازمان آزمایش میکند. تیم قرمز با استفاده از تکنیکهای حمله فعلی برای انجام ماموریتی خاص، رویکرد مبتنی بر هدف برای آزمایش ارائه میکنند. در این فعالیتها از تمرینکنندگان بسیار ماهری استفاده میکنند که سعی میکنند هدف را تکمیل کنند و در عین حال از شناسایی اجتناب کنند. این اقدام چشماندازی عالی در مورد آنچه که یک حمله میتواند به دست آورد، به سازمان ارائه میکند. سودمندی تیم قرمز بر مهارت روشهای خود و ارزش هوشی بر تکنیکهای مهاجم فعال تکیه میکنند. با استفاده از تیمهای بسیار ماهر قرمز برای انجام تمرینهای اعلامنشده، سازمان میتواند شکافها را در مجموعه مهارتهای اعضای تیم، فرآیندهای دفاعی سایبری و مجموعه ابزار شناسایی کند.
تیم آبی تلاش میکند تا اقدامات تیم قرمز را شناسایی کرده و از آن جلوگیری کنند و زمانی که در انجام این کار ناموفق هستند، دادههای ارائهشده توسط تیم قرمز را گرفته و در صورت نیاز برای بهینهسازی اثربخشی امنیتی، اصلاح میکنند. تیم آبی برای تنظیم کنترلها و رفع Gapها و آسیبپذیریها به یافتههای تیم قرمز متکی است. تیمهای قرمز و آبی بهطور معمول وظایف خود را در حالت عملیات نامتقارن انجام میدهند.
تیم قرمز، تیم آبی و تیم بنفش را گرد هم میآورند تا به شکلی همزیستی کار کنند. آنها اغلب از اتوماسیون تستهای اعتبارسنجی و هوش تهدید یکپارچه استفاده میکنند. این به افراد تیم قرمز اجازه میدهد تا کنترلها را با چند سناریو گامبهگام آزمایش کنند تا نشان دهند که تکنولوژیهای امنیتی و تیم آبی چگونه در برابر تهدیداتی که به احتمال زیاد سازمان را هدف قرار میدهند، عمل میکنند. برایتیمهای آبی، اتوماسیون تجزیهوتحلیلهای تجویزی را ارائه میدهد که به معیارهایی اجازه میدهد تا در طول زمان بهبود اثربخشی کنترلها و عملیات را نشان دهند، در حالی که هنوز آزمایشهای معنیداری با سرپرست تیم قرمزاجرا میشوند.
تست حمله هدفمند و اعتبارسنجی امنیتی مستمر باید برای موارد زیر انجام شود:
• اولویتبندی مرتبطترین تهدیدها با استفاده از هوش تهدید
اولویتبندی این که چگونه و چهچیزی را باید تست کرد، نیازمند اطلاعات فعال دشمن در مورد این است که چه تهدیداتی بیشترین ارتباط را با شرکت دارند. تیمهای امنیتی نباید تحلیل هوش تهدید را به صورت گذشتهنگر انجام دهند، بلکه باید از دادههای فعلی استفاده کنند که به مهاجمان اطلاع میدهد در آینده چه کاری انجام خواهند داد، چه کسی را هدف قرار خواهند داد و از چه روشهایی ممکن است استفاده کنند. به عنوان اولین گام در فرآیند اعتبارسنجی، هوش تهدید میتواند تهدیدهای مهم را شناسایی و هدایت کند.
• اندازهگیری اثربخشی کنترلها در برابر دشمنان شناخته شده
ارزیابی نحوه عملکرد پشته امنیتی در برابر آن حملات مرتبط، نیاز به تست در طول کل حمله دارد. حملات فعالی که به طور ایمن و معتبر در محیط اجرا میشوند برای اندازهگیری اثربخشی واقعی کنترلهای امنیتی ضروری هستند که شامل ارزیابی نحوه کار افراد، فرآیندها و تکنولوژیها با یکدیگر در برابر هر دو تکنیک دشمن و حملات فنی است.
• بهبود اثربخشی از طریق بهینهسازی و تکرار ارزیابی
بهینهسازی کنترلها بر اساس گپها و کاستیهایی که در مرحله اندازهگیری آشکار میشود، فرآیندی مداوم است. هنگامی که کنترلها بهینه شدند، تست مداوم مبنای اصلی خوبی را حفظ میکند تا پیشرفتها را اندازهگیری کند و دادههای کمی را جهت نشان دادن ارزش امنیت برای کسبوکار ارائه دهد.
• منطقیسازی سرمایهگذاریهای امنیتی با اعتبارسنجی مستمر امنیتی
تیمهای امنیتی میتوانند دادههای مورد نیاز برای اثبات اثربخشی امنیت برای حمایت از منطقیسازی سرمایهگذاریهای امنیتی را ضبط کنند. علاوه بر این، استفاده از اعتبارسنجی امنیتی میتواند بینشی در مورد تأثیر تغییر یا حذف کنترل در زیرساخت امنیتی و در زمینه تحمل ریسک شرکت ارائه دهد. هنگامی که کنترلها بهینه شدند، رهبران امنیتی میتوانند از دادههای اعتبارسنجی برای اندازهگیری مداوم و نشان دادن بهبود برنامه امنیتی و سرمایهگذاریها استفاده کنند. شرکتها میتوانند محلهایی را که همپوشانی وجود دارد مشخص کنند و راههایی برای کاهش هزینهها بدون تأثیر ریسک بیابند که این مسئله نیز به همان میزان حائز اهمیت است.
• نظارت مستمر از نظر انحراف محیطی
تغییرات به طور طبیعی در محیط IT رخ میدهد که ممکن است بر اثربخشی امنیتی تأثیر بگذارد. برای اطمینان از ضعیف نشدن دفاع سایبری، نظارت مستمر، شناسایی و هشدار در هنگام انحراف برای اندازهگیری دقیق اثربخشی بسیار مهم است. تکمیل مراحل یک تا چهارم به تیمهای امنیتی مبنایی اصلی میدهد تا تستهای مداوم را برای اطمینان از اثربخشی بهینه در زمان وقوع این تغییرات انجام دهند.
تایید اثربخشی کارکنان شما
اینکه قابلیتهای فنی، فرآیندها و رویههای تیم امنیتی خود را برای پاسخ به حملات تأیید کنید نیز به همان میزان اهمیت دارد. محیطهای مجازی و محدودههای سایبری را میتوان برای ارزیابی کارکنان خود استفاده کرد و آنها را وادار کرد تا بدون عواقب واقعی به تهدیدهای دنیای واقعی پاسخ دهند.
تیمهای امنیتی از محیط مجازی استفاده میکنند که زیرساختهای ITمعمول را شبیه سازی کنند؛ مانند بخشهای شبکه، ایستگاههای کاری، سرورها و برنامهها.
این تمرینات به روش های زیر مفید هستند:
- مناطقی را برای بهبود تیم شناسایی کنید. حوادث دنیای واقعی را برای شناسایی گپها در آموزش، فرآیندها، رویهها و برنامههای ارتباطی بررسی کنید.
- حوادث امنیتی مهم را بررسی کنید. تیمهای پاسخ و اطلاعات خود را با جدیدترین سناریوهای حمله و TTP های مهاجم آزمایش کنید.
- پژوهش کنید و تهدیدهای شناسایی شده را تجزیه و تحلیل کنید. بیاموزید که در مورد TTPهای مهاجم تحقیق کنید و IOCها را از مصنوعات مبتنی بر Host و شبکه شناسایی کنید.
تمرینات محدوده سایبری باید سناریوهای مختلف حمله از جمله باج افزار، تهدیدات داخلی، استخراج دادهها، حملات Active Directory و حرکات جانبی را پوشش دهد.
اعتبارسنجی طراحی طرحهای واکنشی و اصلاح رخداد
مهم است که پیش از نیاز، برنامه واکنش و اصلاح رخداد در محل وجود داشته باشد. تمرینات Tabletop روشی ساده و در عین حال موثر برای آزمایش طراحی فرآیندهای پاسخ به رخداد برای سناریوهای تهدید چندگانه است. با گذر از رخدادی سایبری و فرآیندهای پاسخ به رخداد مرتبط، تیمها میتوانند گپها را در فرآیندهای تحقیقاتی، ابزارهای موجود، فرآیندهای ارتباطی و ذینفعان درگیر شناسایی کنند. شناسایی و رفع این گپها پیش از وقوع رخداد باعث صرفه جویی در زمان ارزشمند و جلوگیری از بسیاری از اشتباهات می شود.
علاوه بر استفاده از تمرینهای Tabletop برای فرآیندهای پاسخ به رخداد، توصیه میشود از تمرینهای Tabletop برای تلاشهای رایج اصلاحی مانند بازنشانی رمز عبور در مقیاس بزرگ و فرآیندهای بازیابی استفاده کنید.
تمرینهای Tabletop به شناسایی گپها در طرحهای پاسخ و اصلاح کمک میکنند و فرصتی برای بهروزرسانی برنامهها بر اساس آخرین تهدیدات فراهم میکنند. تمرینات Tabletop باید حداقل پاسخ دهند:
- چه کسی بخشی از تیم واکنش و اصلاح رخداد است؟
- چه کسی قدرت تصمیمگیری نهایی را برای سازمان در طول یک رخداد از جمله تصمیمات مؤثر بر کسب و کار مانند قطع اتصال از اینترنت، انجام بازنشانی رمز عبور در سطح شرکت، پرداخت یا عدم پرداخت باج و زمان افشای عمومی دارد؟
- کدام شرکا و چه زمانی وارد خواهند شد؟ آیا قرارداد سطح خدمات (SLA) وجود دارد؟
- چه زمانی باید با مشاور حقوقی تماس گرفت؟
- چه زمانی باید با ارائهدهنده بیمه تماس گرفت؟
- چه کسی مدیریت بحران و ارتباطات را مدیریت خواهد کرد؟
- سازمان چگونه تلاشهای اصلاحی را انجام خواهد داد (به عنوان مثال، آیا رویداد بازنشانی کامل رمز عبور انجام میشود؟و توسط چه کسی)؟
- آیا یک کارگزار باج افزار در محل وجود دارد که باج رویداد باید مورد مذاکره قرار گیرد؟
- آیا مقرراتی در مورد عدم پرداخت باج به گروههای شناسایی شده وجود دارد؟