Лучшая защита – нападение

76902
Автор: Евгений Питолин

Стоимость восстановления после хакерской атаки может составить для большой компании сумму от $1 млн до $4 млн

Классическая мантра безопасности крупных корпоративных вендоров и интеграторов в РК – фокус на защитных или реактивных мерах, блокирующих атаки или реагирующих на них постфактум. Увы, 2022 год подвел черту под эффективностью таких мер, их время прошло. Сегодня даже крупной корпорации может понадобиться на выявление и локализацию атаки до девяти месяцев. Стоимость же восстановления после атаки, включая весь совокупный ущерб, в том числе от простоя, может составить для большой компании сумму от $1 млн до более чем $4 млн.

Альтернативой классическому подходу является наступательная (offensive) безопасность – путь, который предвосхищает атаки, а не просто реагирует на них. (Термин не имеет адекватного перевода на русский язык, поэтому остается латинизированным в профессиональных кругах.)

Многие методы, используемые в offensive-безопасности, представляют собой ту же тактику, которую злоумышленники используют при кибератаках – к примеру, определенные публичные и полузакрытые инструменты для выявления слабых мест и определения плана атаки на основе собранной информации. Если специалисты используют аналогичные инструменты, компания способна найти недостатки в своей системе безопасности и устранить их до атаки.

Методы offensive и defensive (классическая ИБ-стратегия) в тандеме обеспечивают еще более надежную защиту от угроз. При этом первая может помочь второй, показав, какие области хорошо защищены существующими защитными мерами, и определив, какие требуют дополнительной защиты.

Шаги по созданию offensive-стратегии для корпорации

Образование offensive-команды

Она может быть полностью внутренней или полностью внешней. Но большинство предприятий предпочитают гибридный подход, передавая на аутсорсинг третьей стороне задания, которые внутренние команды не в состоянии выполнить. Важно оценить набор навыков, рабочую силу и ресурсы, доступные вашей команде.

Стратегия и инструменты

Киберпреступники начинают со сбора разведданных о ситуации в сфере безопасности, прежде чем начать атаку, поэтому offensive-­команда должна делать то же самое. Есть смысл отработать с ней полярные сценарии:

  • открытое взаимодействие (есть вся известная информация об инфраструктуре;
  • закрытое взаимодействие (нет никакой информации).

Группы безопасности могут использовать множество инструментов для разведки: сканеры портов, сканеры уязвимостей, профилировщики, декомпиляторы, а также динамическое и статическое тестирование безопасности приложений (DAST и SAST).

Проведение наступательных действий

Все должно быть сделано правильно и осторожно, чтобы не случилось простоя в работе корпорации, включая плотное общение с владельцами информационных систем и четкое понимание последствий своих действий. «Уборка» и закрытие дыр после наступления жизненно важны для обеспечения того, чтобы бэкдоры не оставались доступными для использования киберпреступниками.

Есть два основных типа тестирования – red teaming, когда команда выполняет полную симуляцию атаки для получения доступа или конфиденциальных данных, и пентест (тестирование на проникновение), когда команда определяет путь атаки с использованием уязвимости и оценивает потенциальный ущерб.

После тестирования

Как только разведка и тестирование будут проведены, offensive-­команда должна преобразовать свои выводы в инсайты и программу корректировок в ИБ, которые другие команды смогут понять и действовать в соответствии с ними.

Использование преимуществ offensive-стратегии в дополнение к любым уже существующим защитным и реактивным мерам может значительно усилить защиту организации, а набор инструментов, аналогичных тем, которые киберпреступники используют в своих атаках, поможет выявлять и устранять потенциальные уязвимости до начала атаки.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить