В противодействии целевым атакам (APT) решающую роль играют готовность службы безопасности к реагированию на возникающие инциденты, а также настройки средств мониторинга событий ИБ и anti-APT решений. К сожалению, протестировать эффективность настройки средств защиты информации и готовность ИБ-подразделений можно только во время реальной атаки или во время ее полномасштабной имитации в рамках услуг по проведению тестирования на проникновение в режиме Red Team (Red Team Assessment).
Тестирование на проникновение в режиме Red Team (Red Team Assessment) – процесс выявления недостатков в корпоративной информационной системе Заказчика в обход существующих средств защиты информации с имитацией работы реального злоумышленника, ориентированный на проверку реакции службы ИБ компании.
Основные отличия Red Team Assessment от «стандартного» теста на проникновение:
- Тестирование на проникновение в режиме Red Team обычно проводят скрытно от персонала заказчика, в том числе от службы ИБ (о его проведении обычно знает только контактное лицо со стороны клиента).
- Сроки проведения Red Team Assessment значительно длиннее, так как исполнителю нужно больше времени, чтобы максимально правдоподобно спланировать атаку, а также провести ее, оставаясь как можно дольше не обнаруживая свое присутствие для службы ИБ.
- У исполнителя отсутствуют ограничения на область проведения работ и состав применяемых методов атак (могут применяться в том числе атаки «нулевого дня»).
- Атаки могут проводиться в любое время дня и ночи (уведомляется только контактное лицо заказчика).
Зачем компаниям нужен тест на проникновение в режиме Red Team:
- Проверка работы службы информационной безопасности в реальных условиях.
- Выявление потенциальных векторов проникновения злоумышленника.
- Тестирование настроек технических средств выявления и предотвращения хакерских атак, процессов и средств по выявлению и реагированию на инциденты ИБ.
- Проверка того, как исполняются регламенты по реагированию на инциденты ИБ и насколько тщательно и ответственно подходят сотрудники ИБ-подразделений к выявлению подозрительной активности.
- Повышение информированности сотрудников и умения действовать в критичной ситуации, отработка взаимодействия подразделений.