Тема целевых атак (APT) никогда не отойдет на второй план по той причине, что всегда будут актуальны такие вектора проникновения в корпоративные сети как уязвимости «нулевого дня» и социальная инженерия.
В противодействии целевым атакам решающую роль играют готовность службы безопасности к реагированию на возникающие инциденты, а также настройки средств мониторинга событий ИБ и anti-APT решений.
К сожалению, протестировать эффективность настройки механизмов и готовность ИБ подразделений можно только во время реальной атаки, ну или во время ее моделирования в рамках услуги по проведению киберучений.
Основное отличие киберучений от пентеста заключается в том, что во время киберучений основной целью является не поиск максимального количества уязвимостей в инфраструктуре Заказчика, а в тестировании процессов и средств по выявлению и реагированию на инциденты ИБ.
Киберучения обычно проводят скрытно от персонала служб информационной безопасности (о их проведении знает только руководитель подразделения), а исполнителю дается достаточное количество времени, чтобы спланировать и провести атаку так, как она прошла бы в реальной жизни.
Проведение киберучений позволит:
- Выявить потенциальные вектора проникновения злоумышленника в инфраструктуру
- Протестировать настройки технических средств выявления и предотвращения хакерских атак
- Увидеть, как исполняются регламенты по реагированию на инциденты ИБ и насколько творчески подходят сотрудники ИБ подразделений к выявлению подозрительной активности
По результатам киберучений можно получить ответы на вопросы:
- Готовы ли применяемые технические средства обнаруживать реальные попытки проникновения?
- Насколько слажено действуют сотрудники ИБ?
- Как стоит изменить внутренние процессы выявления, локализации и ликвидации последствий атак?
- В среднем злоумышленник находится в сети 146 дней до своего обнаружения (попав во внутреннюю сеть, хакеры настойчиво и терпеливо собирают данные, нужные для продвижения к цели – критическим данным)
- 69% организаций узнают о взломе из внешних источников (обычно о взломе жертвам сообщают государственные органы или СМИ)
- 85% бюджетов тратятся на технологии предотвращения взлома (тем не менее, если взлом произошел, организации бессильны обнаружить, остановить или расследовать его)(по информации www.illusivenetworks.com)
- лишь 12%(!) компаний считают, что смогут выявить таргетированную спланированную атаку (по информации www.ey.com)
Варианты предоставления услуги
- Комплексное тестирование на проникновение
Выполняется следующими этапами: - Обычный комплексный тест на проникновение
- Составление списка потенциальных сценариев атак на основе полученной информации и согласование проводимых атак с Заказчиком
- Симуляция согласованных атак (без сообщения дежурной службе ИБ)
- Разбор результатов и услуги по консультациям/дальнейшим продажам
- Непрерывное тестирование
Постоянная симуляция различных атак (также при согласовании и без уведомления службы ИБ) на основе SLA. Предоставление отчетов на регулярной основе.
- Threat scenario / attack simulation.
Согласование и симуляция атак без предварительного тестирования. Необходимый доступ (в зависимости от выбранной атаки) предоставляется Заказчиком.
- Тестирование действий пользователей и дежурных смен на тестовых примерах
- Проведение кабинетных учений по реагированию на инциденты с представителями руководства компани, PR-служб и других вовлеченных подразделений.