Mengevaluasi Kontrol Keamanan Anda? Pastikan untuk Mengajukan Pertanyaan yang Tepat

2 3 minutes read

Menguji kontrol keamanan adalah satu-satunya cara untuk mengetahui apakah mereka benar-benar membela organisasi Anda. Dengan berbagai kerangka kerja pengujian dan alat untuk dipilih, Anda memiliki banyak opsi.

Tapi apa yang ingin Anda ketahui secara spesifik? Dan bagaimana temuan itu relevan dengan lanskap ancaman yang Anda hadapi saat ini?

"Putuskan apa yang ingin kamu ketahui dan kemudian pilih alat terbaik untuk pekerjaan itu."

Tim keamanan biasanya menggunakan beberapa alat pengujian yang berbeda untuk mengevaluasi infrastruktur. Menurut SANS, 69,9% dari tim keamanan menggunakan alat pengujian yang disediakan vendor, 60,2% menggunakan alat pengujian pena, dan 59,7% menggunakan alat dan skrip buatan sendiri.

Sementara alat yang disediakan vendor menguji solusi keamanan spesifik – apakah itu firewall aplikasi web (WAF), solusi EDR, atau yang lainnya – pengujian pena sering digunakan untuk memverifikasi bahwa kontrol memenuhi persyaratan kepatuhan, seperti peraturan PCI DSS, dan oleh merah tim sebagai bagian dari penilaian dan latihan pengujian yang lebih luas.

Tes pena otomatis membantu menjawab pertanyaan, "bisakah penyerang masuk?" Mereka dapat membantu mengidentifikasi jalur yang rentan atau berisiko tinggi ke dalam suatu lingkungan, tetapi mereka biasanya tidak mencakup keseluruhan rantai pembunuhan. Mereka dapat meniru beberapa teknik aktor ancaman dan bahkan muatan yang berbeda, tetapi mereka biasanya tidak meniru dan sepenuhnya mengotomatisasi Taktik, Teknik, dan Prosedur (TTP) penuh dari aktor ancaman nyata.

Tes pena otomatis mengandalkan penguji pena manusia yang terampil dengan berbagai tingkat keahlian, sehingga sulit untuk mendapatkan data yang konsisten dari waktu ke waktu. Berbagai alat dan pendekatan pengujian pena sebenarnya dapat mempersulit pengujian. Misalnya, vektor serangan yang berbeda memerlukan alat pengujian yang berbeda. Alat-alat ini juga cenderung lemah dalam mengenali kerentanan dalam logika bisnis, yang dapat mempengaruhi hasil.

Untuk organisasi, pengujian pena mahal dan memerlukan perencanaan lanjutan yang signifikan, yang sering membatasi penggunaannya untuk pengujian tahunan atau semi-tahunan. Dan bahkan dengan otomasi, pengujian pena membutuhkan waktu untuk lingkup, melakukan, dan menganalisis, memperlambat kemampuan organisasi untuk merespons secara akurat terhadap ancaman langsung.

Jajak pendapat SANS menemukan bahwa sebagian besar responden menguji kontrol mereka secara triwulanan. Namun, lanskap ancaman dunia nyata berevolusi setiap hari, menyisakan banyak waktu untuk ancaman untuk mengeksploitasi celah atau kelemahan di antara penilaian yang dijadwalkan. Jika Anda ingin visibilitas ke efektivitas kontrol keamanan – sekarang – Anda akan memiliki pertanyaan tambahan yang pengujian pena tidak dapat dengan mudah menjawab:

Apakah kontrol Anda berfungsi sebagaimana mestinya, dan seperti yang Anda harapkan?
Apakah kontrol yang saling bergantung menghasilkan dan mengirimkan data yang benar dengan benar? Misalnya, apakah gateway web, firewall, dan alat Anda yang berbasis perilaku memperingatkan SIEM dengan benar ketika mereka mendeteksi aktivitas mencurigakan?
Apakah konfigurasi melayang dari waktu ke waktu atau salah diatur? Misalnya, apakah kontrol aktif mendeteksi ancaman, atau dibiarkan dalam mode pemantauan?
Jika Anda telah meluncurkan teknologi atau pengaturan baru, bagaimana mereka memengaruhi postur keamanan Anda?
Apakah kontrol dapat bertahan melawan ancaman dan varian terbaru?
Apakah keamanan Anda bertahan terhadap teknik siluman terbaru, seperti hidup dari serangan darat tanpa tanah (LOTL) oleh penyerang canggih?
Apakah Anda memiliki visibilitas ke hasil keamanan yang membutuhkan proses manusia dan teknologi?
Apakah tim biru Anda dapat mengidentifikasi dan merespons peringatan secara efektif?

Alat Pelacakan dan Simulasi Serangan Otomatis (BAS) memungkinkan Anda untuk menjawab pertanyaan-pertanyaan ini. BAS melengkapi pengujian point-in-time untuk terus menantang, mengukur, dan mengoptimalkan efektivitas kontrol keamanan. BAS otomatis, memungkinkan Anda untuk menguji sesuai kebutuhan, dan solusi terbaik menilai kontrol berdasarkan strain malware terbaru dan TTP aktor ancaman – tanpa harus mengumpulkan tim pakar keamanan. Organisasi menggunakan BAS untuk:

Mensimulasikan serangan tanpa membahayakan lingkungan produksi
Mensimulasikan serangan di seluruh rantai pembunuhan penuh terhadap semua ancaman, termasuk TTP penyerang terbaru
Uji terus-menerus dengan fleksibilitas untuk menargetkan vektor, infrastruktur, dan tim internal tertentu untuk kesadaran terhadap ancaman terbaru
Otomatiskan simulasi untuk pengulangan dan konsistensi
Lakukan pengujian pada setiap interval waktu – jam, harian, mingguan, atau ad hoc dengan hasil dalam hitungan menit
Identifikasi celah dan evaluasi kontrol terhadap kerangka kerja MITER ATT & CK
Perbaiki postur keamanan dan paparan perusahaan menggunakan wawasan yang dapat ditindaklanjuti

Ketika musuh dunia maya terus meningkatkan permainan mereka, Anda dan tim eksekutif Anda membutuhkan kepastian bahwa kontrol di seluruh rantai pembunuhan memang memberikan perlindungan yang Anda butuhkan – setiap hari, setiap jam, atau setiap saat. Untuk semakin banyak organisasi, BAS memberikan kontrol keamanan yang berkelanjutan dan data penilaian risiko cyber yang diperlukan untuk mencapai tujuan itu.

Untuk informasi lebih lanjut, kunjungi Cymulate dan mendaftar untuk uji coba gratis.

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Pos terkait

Elon Musk mengesampingkan ijazah perguruan tinggi, tetapi Tesla menuntut

AMD menang atas Intel setelah satu dekade terbaik kedua

Tolok ukur pertama untuk prosesor Galaxy S11 hanya bocor, dan masih belum bisa menyentuh iPhone tahun lalu

Band kebugaran Helix Gusto diluncurkan di India untuk Rs 1495 dan Rs 2295