Kiểm tra kiểm soát bảo mật là cách duy nhất để biết liệu họ có thực sự bảo vệ tổ chức của bạn hay không. Với nhiều khung kiểm tra và công cụ khác nhau để lựa chọn, bạn có rất nhiều tùy chọn.
Nhưng những gì bạn đặc biệt muốn biết? Và làm thế nào là những phát hiện có liên quan đến cảnh quan đe dọa mà bạn phải đối mặt tại thời điểm này?
"Quyết định những gì bạn muốn biết và sau đó chọn công cụ tốt nhất cho công việc."
Các nhóm bảo mật thường sử dụng một số công cụ kiểm tra khác nhau để đánh giá cơ sở hạ tầng. Theo Sans, 69.9% nhóm bảo mật sử dụng các công cụ kiểm tra do nhà cung cấp cung cấp, 60.2% sử dụng các công cụ kiểm tra bút và 59.7% sử dụng các công cụ và kịch bản cây nhà lá vườn.
Mặc dù các công cụ do nhà cung cấp kiểm tra một giải pháp bảo mật cụ thể – cho dù đó là tường lửa ứng dụng web (WAF), giải pháp EDR hay thứ gì khác – kiểm tra bút thường được sử dụng để xác minh rằng các điều khiển đáp ứng các yêu cầu tuân thủ, như quy định PCI DSS và màu đỏ các nhóm như là một phần của đánh giá thử nghiệm và bài tập rộng hơn.
Kiểm tra bút tự động giúp trả lời câu hỏi, "kẻ tấn công có thể vào được không?" Chúng có thể giúp xác định các con đường dễ bị tổn thương hoặc có nguy cơ cao vào một môi trường, nhưng chúng thường không bao gồm toàn bộ chuỗi tiêu diệt. Họ có thể mô phỏng nhiều kỹ thuật tác nhân đe dọa và thậm chí tải trọng khác nhau, nhưng họ thường không sao chép và tự động hóa hoàn toàn Chiến thuật, Kỹ thuật và Quy trình (TTP) của một tác nhân đe dọa thực sự.
Kiểm tra bút tự động phụ thuộc vào người kiểm tra bút có kỹ năng của con người với trình độ chuyên môn khác nhau, gây khó khăn để có được dữ liệu nhất quán theo thời gian. Sự đa dạng của các công cụ và phương pháp kiểm tra bút thực sự có thể làm phức tạp việc kiểm tra. Ví dụ, các vectơ tấn công khác nhau đòi hỏi các công cụ kiểm tra khác nhau. Các công cụ này cũng có xu hướng yếu trong việc nhận ra các lỗ hổng trong logic kinh doanh, có thể làm sai lệch kết quả.
Đối với các tổ chức, thử nghiệm bút là tốn kém và đòi hỏi lập kế hoạch trước đáng kể, thường giới hạn việc sử dụng nó để thử nghiệm hàng năm hoặc nửa năm. Và ngay cả với tự động hóa, kiểm tra bút cũng cần có thời gian để phạm vi, thực hiện và phân tích, làm chậm khả năng của tổ chức để phản ứng chính xác với các mối đe dọa ngay lập tức.
Cuộc thăm dò của Sans cho thấy hầu hết những người được hỏi kiểm tra kiểm soát của họ hàng quý một cách tốt nhất. Tuy nhiên, bối cảnh mối đe dọa trong thế giới thực phát triển hàng ngày, để lại rất nhiều thời gian cho các mối đe dọa khai thác bất kỳ khoảng trống hoặc điểm yếu nào giữa các đánh giá theo lịch trình. Nếu bạn muốn thấy rõ hiệu quả của kiểm soát bảo mật – ngay bây giờ – bạn sẽ có thêm câu hỏi mà kiểm tra bút có thể dễ dàng trả lời:
- Các điều khiển của bạn có hoạt động như chúng được cho là hoạt động không, và như bạn mong đợi?
- Các điều khiển phụ thuộc lẫn nhau có tạo đúng và cung cấp đúng dữ liệu không? Ví dụ: cổng web, tường lửa và các công cụ dựa trên hành vi của bạn có cảnh báo chính xác cho SIEM khi chúng phát hiện hoạt động đáng ngờ không?
- Có cấu hình trôi theo thời gian hoặc được đặt không chính xác? Chẳng hạn, các điều khiển có chủ động phát hiện các mối đe dọa hay chúng bị bỏ lại trong chế độ giám sát?
- Nếu bạn đã triển khai công nghệ hoặc cài đặt mới, chúng đã ảnh hưởng đến tư thế bảo mật của bạn như thế nào?
- Là kiểm soát có thể bảo vệ chống lại các mối đe dọa và biến thể mới nhất?
- Có phải an ninh của bạn bảo vệ chống lại các kỹ thuật tàng hình mới nhất, chẳng hạn như sống ngoài vùng đất (LOTL) bởi những kẻ tấn công tinh vi?
- Bạn có tầm nhìn về kết quả bảo mật đòi hỏi cả quy trình và công nghệ của con người không?
- Đội màu xanh của bạn có thể xác định và phản hồi hiệu quả với các cảnh báo không?
Các công cụ mô phỏng tấn công và vi phạm tự động (BAS) cho phép bạn trả lời những câu hỏi này. BAS bổ sung cho việc kiểm tra tại thời điểm để liên tục thách thức, đo lường và tối ưu hóa hiệu quả của các kiểm soát bảo mật. BAS được tự động hóa, cho phép bạn kiểm tra khi cần thiết và các giải pháp tốt nhất đánh giá các kiểm soát dựa trên các chủng phần mềm độc hại mới nhất và TTPs đe dọa – mà không phải tập hợp các nhóm chuyên gia bảo mật. Các tổ chức đang sử dụng BAS để:
- Mô phỏng các cuộc tấn công mà không gây nguy hiểm cho môi trường sản xuất
- Mô phỏng các cuộc tấn công trên toàn chuỗi giết chết chống lại tất cả các mối đe dọa, bao gồm cả TTP tấn công mới nhất
- Kiểm tra liên tục với tính linh hoạt để nhắm mục tiêu các vectơ, cơ sở hạ tầng và các nhóm nội bộ cụ thể để nhận thức về các mối đe dọa mới nhất
- Tự động mô phỏng cho độ lặp lại và tính nhất quán
- Tiến hành kiểm tra tại bất kỳ khoảng thời gian nào – hàng giờ, hàng ngày, hàng tuần hoặc đột xuất với kết quả tính bằng phút
- Xác định các khoảng trống và đánh giá các kiểm soát đối với khung MITER ATT & CK
- Khắc phục tư thế bảo mật và tiếp xúc của công ty bằng cách sử dụng thông tin chi tiết có thể hành động
Khi các đối thủ không gian mạng tiếp tục nâng cấp trò chơi của họ, bạn và nhóm điều hành của bạn cần đảm bảo rằng các điều khiển trong chuỗi tiêu diệt thực sự mang lại sự bảo vệ bạn cần – mỗi ngày, mỗi giờ hoặc mỗi khoảnh khắc. Đối với số lượng tổ chức ngày càng tăng, BAS đang cung cấp kiểm soát an ninh liên tục và dữ liệu đánh giá rủi ro không gian mạng cần thiết để đạt được mục tiêu đó.
Để biết thêm thông tin, hãy truy cập Cymulation và đăng ký dùng thử miễn phí.
