La sicurezza deve essere provata, testata e testata ancora. È diventato più facile che mai per i criminali informatici trovare nuovi modi furtivi per accedere e navigare lateralmente tra i sistemi, sfruttare le lacune nei flussi di lavoro ibridi o dirottare gli account cloud per accedere a un obiettivo. È fondamentale che ogni CISO sia in grado di offrire un quadro chiaro di come la propria sicurezza sia realmente in grado di affrontare le tattiche, le tecniche e le procedure più recenti. Tuttavia, troppo spesso ho visto i miei colleghi CISO cadere in un ciclo di preparazione di test di penetrazione annuali di sistemi puntuali per essere "conformi", che in realtà li rende solo dei bersagli in attesa di una violazione.
La scansione delle vulnerabilità non è semplicemente sufficiente
La verità è che molti CISO non si spingono abbastanza in là, optando solo per un test di penetrazione di base. Si tratta di un breve test tecnico di un componente o di un sistema specifico, con l'obiettivo di trovare e sfruttare le vulnerabilità tecniche. Spesso, però, si tratta di poco più di una scansione automatica, che dimostra le vulnerabilità esistenti, ma senza alcun contesto relativo alle minacce effettive che incombono sulla vostra azienda, o al modo in cui gli aggressori potrebbero sfruttarle.
Al contrario, un'esercitazione red team guidata dalle minacce è più completa, in quanto prende in considerazione diversi scenari comunemente utilizzati da aggressori reali che comprendono persone, processi e tecnologia. Offre una visione decisamente migliore di come i criminali informatici possano tentare di identificare e sfruttare gli anelli più deboli della catena per raggiungere i loro obiettivi (ad esempio, l'esfiltrazione dei dati dei clienti).
Un'esercitazione di red team potrebbe anche non aver bisogno di sfruttare alcuna vulnerabilità legata alla tecnologia; piuttosto, i tester possono affidarsi all'ingegneria sociale, al phishing o all'identificazione dell'IT ombra come punto di ingresso. I team rossi possono anche ricorrere a lasciare chiavette USB maligne fuori dagli uffici e aspettare che i dipendenti le colleghino.
Questa intuizione vale tanto oro quanto pesa. Consente all'organizzazione di migliorare le proprie difese in modo incrementale, affrontando il percorso più semplice ma più probabile per entrare nell'organizzazione dal punto di vista dell'attaccante. Perché dedicare tempo e attenzione alla correzione di una vulnerabilità tecnica complessa (ma teorica) quando un hacker sceglie sempre l'opzione più semplice?
Dopo un'esercitazione della squadra rossa
Con le conoscenze acquisite da un'esercitazione di red team, il CISO può dare priorità ai programmi di miglioramento per agire efficacemente contro i rischi della vita reale, individuando le lacune che altrimenti non sarebbero state colte in un pen-test standard. Naturalmente, il CISO sarà certamente sottoposto a notevoli pressioni per mitigare rapidamente i rischi più gravi, e la trasformazione dell'IT non avviene rapidamente.
I CISO dovrebbero puntare innanzitutto a risolvere i problemi più semplici per rafforzare immediatamente la sicurezza, e poi prendere in considerazione l'aggiunta di funzionalità preconfigurate di rilevamento e mitigazione delle minacce basate sulla rete. Questo approccio aumenta notevolmente la capacità di rilevamento delle minacce alla sicurezza. Offre inoltre un time to value molto più rapido rispetto al rilevamento e alla risposta endpoint , migliorando immediatamente la visibilità ma senza richiedere una modifica totale degli ambienti desktop o server. Inoltre, riduce il tempo trascorso a vagliare numerosi avvisi, assegnando loro una priorità per individuare e bloccare le minacce più urgenti prima che si trasformino in una vera e propria violazione.
Eseguendo test all'ennesima potenza, i CISO possono ridurre i rischi e identificare i modi più efficaci per migliorare la sicurezza. Questa procedura dovrebbe essere in cima alla loro agenda nei mesi a venire.
Questo blog è stato pubblicato per la prima volta su The Register.