Какова ваша конечная цель? Как именно этот проект безопасности повышает ваш уровень защиты?
Как и в случае любой другой технологической инициативы, именно эти два вопроса должны лежать в основе вашей оценки, формирования бюджета и окончательного принятия решений по непрерывному тестированию безопасности и проверке рисков.
Понятие проверки безопасности и автоматизации действий злоумышленников обычно ассоциируется с наступательными тестированиями и специализированными навыками red team и пентестеров, но это лишь один из трех основных сценариев использования, которые компания Gartner освещает в своем последнем «Справочнике рынка по проверке уязвимостей в условиях атак».
Кроме red team, в рыночном справочнике Gartner отображаются примеры применения для оптимизации систем защиты и выявления рисков.
Ясность среди рыночной путаницы
Можно утверждать, что компания Gartner еще больше усилила путаницу на рынке, объединив прежние сегменты моделирования изломов и атак (BAS), автоматизированного пентестирования и непрерывногои red team и тестирование в новенькую консолидированную категорию «проверка уязвимостей в условиях имитации атак».
Тестирование с позиции злоумышленника является общим элементом этих трех технологий, и рынок развивается таким образом, что как поставщики BAS, так и поставщики автоматизированных пентэстов предлагают те или иные инструменты для моделирования атак. Однако эти технологии, как правило, предназначены для различных сценариев использования, поэтому покупателям приходится выбирать из беспорядочного перечня поставщиков услуг по валидации, не имея четкого представления о ключевых преимуществах каждого из них.
Следует отдать должное «Справочнику рынка» от Gartner: он призывает рынок выйти за пределы технологий и сосредоточиться на ценностях и результатах для команд по безопасности. В отчете подробно рассматриваются обязательные и общие функции, характерные для конкретных сценариев использования, с помощью которых можно определить разные результаты для различных команд по безопасности, в частности:
- Оптимизация защиты => операции по безопасности и синие команды
- Мониторинг уязвимостей => управление уязвимостями и непрерывное управление рисками (CTEM)
- Масштабирование тестирования на проникновение =>red team
Во всех трех сценариях использования компания Gartner подчеркивает ценность решений для проверки уязвимостей, таких как Cymulate, которые помогают преодолеть барьеры, связанные с квалификацией и сложностью, позволяя организациям эффективнее и проактивнее проверять свои средства защиты.
Думать как хакер, действовать как администратор
Тестирование безопасности методом атаки имеет бесспорный шарм — особенно для инженеров по безопасности, которые провели бесчисленные часы, сортируя уведомления, настраивая правила брандмауэра и проявляя уязвимости.
Все мы знаем поговорку, что злоумышленникам достаточно угадать только один раз, тогда как защитникам нужно быть правыми в 100% случаев. Именно поэтому руководители служб безопасности отдают себе отчет в ценности постоянного тестирования. Тестирование с позиции злоумышленника позволяет выявить слабые места уже сегодня, вместо того чтобы ждать теста на проникновение в следующем году.
Однако обнаружение уязвимости – это только начало. Хотя тестирование и валидация могут служить фарами, позволяющими увидеть приближение обрыва, именно инженеры по безопасности и blue team сидят за рулем, имея опыт, умение и, что самое главное, средства управления, чтобы оперативно принять меры по минимизации риска.
Именно к этому должна привести непосредственно проверка рисков:
- Настройка средств безопасности для блокирования угроз, которые для вас наиболее важны
- Создание и внедрение алгоритмов обнаружения угроз, которые невозможно предотвратить
- Принятие необходимых мер по устранению подтвержденных рисков, которые невозможно минимизировать
Выйдите за пределы простой видимости
Уже более 20 лет, задолго до появления срока «security posture management» поставщики решений в сфере безопасности убеждали клиентов в важности видимости. Основная идея заключалась в том, что для эффективной защиты сначала необходимо идентифицировать ресурс, приложение, уязвимость, атакующую плоскость, контейнер и т.д.
Что касается проверки рисков, в отчете Gartner выделено несколько показателей прозрачности: «проверка эффективности поставщиков услуг» и «оценочные карты эффективности поставщиков средств безопасности». Руководители служб информационной безопасности и руководители подразделений безопасности обосновывают расходы по управлению рисками следующим образом: «Улучшение управления поставщиками путем использования данных об эффективности средств контроля безопасности инфраструктуры для принятия более обоснованных решений по продлению контрактов на продукцию или стратегии управления поставщиками».
С этой целью компания Cymulate помогла многим руководителям служб информационной безопасности (CISO) использовать метод оценки уязвимостей, чтобы понять свои сильные стороны, установить четкую базовую линию и разработать план стратегических инвестиций и усовершенствований. Однако для команды безопасности и ее партнеров-поставщиков этот процесс часто воспринимается скорее как аудит, а не как путь к немедленному прогрессу.
От непрерывного тестирования до непрерывного усовершенствования
Вместо того, чтобы рассматривать это как задачу, которую можно либо выполнить, либо провалить, успешные руководители в сфере безопасности используют эту возможность для формирования культуры непрерывного совершенствования. Благодаря постоянному тестированию угроз, средств безопасности, техник MITRE ATT&CK, правил SIEM и других элементов, проверка способствует процессу непрерывного совершенствования, дающего следующие конкретные результаты:
- Защита от угроз, адаптированная к новейшим угрозам
- Разработана, внедрена и протестирована новая логика выявления
- Максимальный охват MITRE ATT&CK
В рыночном справочнике Gartner это мнение подчеркивается особенно. «Gartner рекомендует начинать с оборонной оптимизации или с основ практики blue team. Хотя идея создания red team звучит более привлекательно, она подходит не всем, а ее результаты часто сложнее доказать».
Хотя обнаружение пробелов в безопасности и уязвимых мест обеспечивает необходимую прозрачность, руководители служб безопасности должны ожидать от проверки уязвимостей большего — а именно интеграции, непосредственно способствующих повышению уровня безопасности.
Это возвращает нас к первоначальному вопросу. Как проверка уязвимостей повысит уровень вашей безопасности? Напоследок приведем еще одну цитату из доклада Gartner и их предположение о стратегическом планировании: «К 2029 году 30 % организаций свяжут результаты AEV с автоматизированными рабочими процессами устранения уязвимостей или оркестрования, что позволит быстрее устранять обнаруженные уязвимости».
Наконец, проверка уязвимостей должна способствовать повышению уровня безопасности.
Источник: Exposure Validation: Continuous Testing Should Drive Continuous Improvement
