Застосування принципу Тайсона до кібербезпеки: чому симуляція атак є ключем до уникнення нокауту
Уявімо ландшафт кібербезпеки, де захист непроникний, а загрози — ніщо більше, ніж просто турботи, які відбиваються від міцного щита. Нажаль, цей образ міцності залишається мрією, незважаючи на його заспокійливу природу.
У світі кібербезпеки готовність — це не лише розкіш, але й необхідність. В цьому контексті відомий вислів Майка Тайсона: “У кожного є план до того моменту, поки йому не вдарять по обличчю”, сам собою вказує на те, що кіберзахист повинен бути випробуваним в бою, щоб мати шанс вистояти.
Слова Тайсона показують парадокс в кібербезпеці: занадто часто неперевірений захист може створювати фальшиве відчуття безпеки, що призводить до трагічних наслідків, коли реальні загрози завдають удару. Саме тут важливим стає Breach and Attack Simulation (BAS), активний інструмент в арсеналі кібербезпеки будь-якої організації.
#Коли захист стикається з реальною атакою, проблема — це припущення які робилися.
Припущення — це приховані айсберги в обширному океані кібербезпеки. Навіть якщо ми вважаємо, що наші засоби захисту неперевершені, статистика малює іншу картину. Дані розкривають тривожну правду: кібербезпекові заходи часто недостатньо ефективні в реальних сценаріях. Це недолік часто виникає через складнощі в налаштуванні та нестачу кваліфікованих фахівців, що може призводити до неефективного та помилкового конфігурування захисту. У той же час традиційні методи тестування, такі як тести на проникнення та Red Team, не в змозі повністю оцінити ефективність кіберзахисту організації. Це може призводити до небезпечного припущення, що засоби захисту ефективні, не випробовуючи їх неперервно в реальних сценаріях.
Ця прірва між уявленим та фактичним рівнем захисту підтверджує зростаючупотребу в перевірці безпеки за допомогою Breach and Attack Simulation (BAS) — методу, який дозволяє ретельно перевірити захист перед тим, як атаки досягнуть своїх цілей та застануть організації зненацька.
#Зміна Менталітету від Плану до Практики
Вирощування проактивної культури підходу до кібербезпеки схоже на бій з тінню, перетворюючи теорію на реальність. Кіберзагрози змінюються так швидко, як хмари на бурхливому небі, і симуляції повинні бути такими ж динамічними, як і загрози, які вони імітують. Ця культура починається зверху, з керівництва, що підтримує впровадження постійної перевірки кібербезпеки через BAS. Тільки в такому випадку команди з кібербезпеки зможуть реалізувати подібний підхід на практиці, часто й цілеспрямовано проводячи необхідні симуляції та тестуванняіснуючих контролів.
#Механіка BAS
BAS — це перевірка загального ландшафту захищеності та контролів вашої організації. У своїй основі BAS — це систематична, контрольована симуляція кібератак проти вашої інфраструктури. Кожна симуляція призначена імітувати поведінку справжніх зловмисників, враховуючи тактики, техніки та процедури(TTP) противника. Згідно з Red Report 2023, зловмисники використовують у середньому 11 різних TTP під час атаки.
Наприклад, сценарій APT починається з методів початкового проникнення, таких як використання вразливостей програмного забезпечення або фішингові електронні листи зі зловмисними вкладеннями. Потім він просувається глибше, намагаючись рухатися в мережі, підвищувати привілеї, де це можливо, та намагається вивантажити земульовані конфіденційні дані. У цьому сценарії мета — відтворити весь цикл атаки, аналізуючи, як ваші засоби захисту реагують на кожному етапі.
Зрозуміло, що BAS — це не лише одноразова вправа. Це постійний процес, який адаптується до еволюції загрозового середовища. При виявленні нових варіантів шкідливих програм, TTP, технік використання вразливостей, кампаній APT та інших нових загроз, вони автоматично потрапляють в бібліотеку BAS.
Після кожної симуляції інструменти BAS надають всебічну аналітику та інформативні звіти. Вони містять важливі деталі про те, як було (чи не було) виявлено спробу вторгнення, час, який знадобився для реакції засобів захисту, та ефективність реакції.
Знаючи ці дані, фахівці з кібербезпеки можуть краще пріоритизувати свої стратегії реакції та захисту, зосереджуючись на найбільш критичних прогалинах у своєму оборонному фронті. Вони також можуть оптимізовувати наявні правила в інструментах захисту, та надавати рекомендації задля покращення їхньої здатність виявляти, запобігати або реагувати на кіберзагрози.
#Інтеграція BAS у вашу Кіберстратегію
Уявіть, що BAS — це постійний пульс, що підсилює ваші заходи безпеки. Ефективне впровадження BAS в захист організації починається з критичного аналізу того, як він доповнює вашу архітектуру.
Крок 1: Налаштуйте BAS під свої потреби
Індивідуалізація BAS для вашої організації починається з розуміння моделі загроз,і тих загроз, з якими ви, найбільш ймовірно, зіштовхнетесь, оскільки основні виклики кіберзпеки для банку відрізняються від тих, що постають перед лікарнею. Оберіть симуляції, які відображають найбільш актуальні загрози для вашої галузі та технічної інфраструктури. Сучасні платформи BAS можуть генерувати індивідуалізовані плани симуляцій, які ймовірно найбільше вплинуть на вашу організацію.
Крок 2: Створіть Розклад Симуляцій
Постійність є ключем. Проводьте симуляції регулярно, не лише як одноразову подію, але як невід’ємну частину вашої стратегії кібербезпеки. Встановіть розклад та задайте ритм — чи то щоденний, щотижневий, щомісячний чи в режимі реального часу після значущих змін в ІТ або ландшафті загроз, — щоб завжди бути на крок попереду противників, які постійно вдосконалюють свої тактики.
Крок 3: Застосуйте Отримані Знання
Справжня цінність BAS полягає в висновках, отриманих з результатів симуляцій. Сучасні платформи BAS надають практичні рекомендації, такі як правила виявлення, які можна безпосередньо включити в засоби захисту — включаючи IPS, NGFW, WAF, EDR, SIEM, SOAR та інші засоби кібербезпеки — для миттєвого ефекту та впливу на стан захищеності.
Крок 4: Вимірюйте та Вдосконалюйте
Визначте кількісні показники успіху для оцінки впливу BAS на кібербезпеку вашої організації. Це може включати відношення заблокованих/виявлених/попереджених атак до всіх атак, або ж або покращень у часі виявлення та реагування. Постійно вдосконалюйте свій процес на основі цих показників ефективності, щоб впевнитись, що ваші заходи захисту стають якіснішими з кожною ітерацією.
Піонер технології BAS — Picus Security
Коли ми розглядаємо паралелі між захистом боксера і кіберзахисстом в межах організації, один вислів стає справжнім: пережити перший удар — це про стійкість через безперервну практику. Тут ми продемонстрували критичну роль, яку відіграє BAS у вирощуванні проактивного підходу до непередбачуваності кіберзагроз.
Picus Security вперше впроваджував технологію Breach and Attack Simulation (BAS) в 2013 році і допомагає організаціям покращувати свою кіберстійкість з того часу.
З Picus ви не просто реагуєте — ви активно протидієте кіберзагрозам до того, як вони вплинуть на вашу діяльність.
Примітка: Цю статтю написав д-р Сулейман Озарслан, співзасновник і віце-президент Picus Labs в Picus Security
Оригінал — https://thehackernews.com/2024/01/applying-tyson-principle-to.html?m=1