Comparação entre os métodos de teste de Segurança da Informação
Sou um representante de vendas interno da Cymulate e falo com dezenas de profissionais em Segurança da Informação por semana, e a primeira coisa que ouço é que alguma forma de teste está sendo realizada, seja a verificação de vulnerabilidades ou o Pen Testing, sem mais serviços necessários.
O meu desafio é convencê-los de que vale a pena aprender sobre um novo e melhor abordagem para testes de segurança.
Todo mundo está testando hoje em dia, o que é ótimo. Uma ameaça de nova geração requer uma equipe ágil de Segurança da Informação e, agora que as empresas estão gastando mais do que nunca em segurança cibernética, os gerentes da Segurança de Informação querem saber ANTES de um ataque, se tudo está funcionando da maneira que eles esperam.
Muito raramente vou entrar em contato para descobrir que nenhum tipo de validação está sendo feito.
Aqui estão as três maneiras pelas quais a maioria das pessoas estão testando sua postura de segurança:
Verificação de vulnerabilidades
A Verificação de vulnerabilidades é uma ferramenta amplamente usada para auditoria de TI, usando um aplicativo que verifica vulnerabilidades ou fraquezas conhecidas que foram usadas anteriormente pelos criminosos cibernéticos. Milhares de diferentes vulnerabilidades de segurança são verificadas. É rápido, fácil e pode ser rentável para agendar e verificar milhares de vulnerabilidades em redes e sistemas host. Sua maior desvantagem é que produz uma alta taxa de falsos positivos (entre 30 a 60%) e apenas tira uma foto instantânea, sem fornecer uma visão completa de todos os problemas que possa encontrar. Também poderia enfatizar o ambiente de produção que pode causar tempo de inatividade.
Teste de penetração – Pen testing
O teste de penetração é realizado por testadores especializados que vão mais fundo do que uma verificação de vulnerabilidade. Eles tentam avaliar até onde podem penetrar na infraestrutura de segurança de uma organização. É ótimo para fraquezas de alto risco selecionadas e para usar os relatórios para ajudar a mitigar os problemas. Infelizmente, o teste com caneta é tão bom quanto a habilidade do testador individual. Como o teste de caneta tem escopo definido, ele não fornece uma visão de 360 ° e, o pior de tudo, pode levar semanas para que o relatório esteja pronto. É como tentar planejar as férias das próximas semanas com base no boletim meteorológico do mês passado. Muitas empresas são obrigadas a fazer alguma forma de teste por caneta, outras o fazem trimestralmente ou semestralmente, outras com mais frequência, pois as empresas percebem que testes mais frequentes fornecem uma melhor visão sobre seu risco cibernético.
Times Vermelho e Azul
O método que está ganhando popularidade é o trabalho em equipe vermelho/azul, que testa a postura de segurança das organizações e seus recursos para detectar e responder a um ataque direcionado. Com a capacidade de detectar problemas desconhecidos em locais desconhecidos, a equipe vermelha usa os mesmos métodos usados por muitos hackers, ajudando a simular um ataque no mundo real. Ataques de várias etapas são usados para simular vários tipos de adversários e para identificar lacunas nos controles de segurança da informação. Ele também mede a prontidão da organização para detectar, conter e mitigar o ataque, além da coleta de evidências, comunicações e relatórios internos e externos. Como um exercício efetivo de equipe vermelho/azul consome muitos recursos, não pode ser realizado regularmente.
Simulação de Violação e Ataque (BAS), a abordagem Cymulate
As novas tecnologias não são as mais fáceis de entender, e a simulação de violações e ataques não é exceção. Geralmente, ao discutir o BAS, o pessoal da Segurança da Informação me diz que é bom demais para ser verdade e por boas razões. É uma maneira completamente nova de analisar a validação de segurança e que exige uma mente aberta. Os CISOs também são constantemente bombardeados por vendedores com todos os tipos de ótimas soluções, tornando um desafio chamar sua atenção.
O Cymulate é uma plataforma de simulação de ataque e violação baseada em SaaS que simplifica o teste, a mensuração e a otimização da eficácia de seus controles de segurança a qualquer momento, o tempo todo. Com apenas alguns cliques, o Cymulate desafia seus controles de segurança iniciando milhares de simulações de ataques, mostrando exatamente onde você está exposto e como corrigi-lo – tornando os testes de segurança contínuos, rápidos e parte das atividades diárias.
Totalmente automatizado e personalizável, o Cymulate desafia seus controles de segurança contra toda a cadeia de ataques com milhares de ameaças simuladas, comuns e novas. Mas não para por aí. As equipes vermelhas usam o Cymulate para descobrir um amplo conjunto de vulnerabilidades e lançar ataques personalizados. Por meio da integração com fornecedores SIEM, o Cymulate correlaciona ataques a eventos e alertas, permitindo que as equipes de segurança (azuis) validem se seus sistemas SIEM estão configurados corretamente. E as integrações com os scanners de vulnerabilidades fornecem contexto para as vulnerabilidades, mostrando como elas são exploradas em técnicas reais de ataque usadas pelos atores de ameaças, fornecendo um vetor realista para priorizar os esforços de mitigação.
No final do dia, informar as equipes da Segurança da Informação sobre o que fazemos é divertido e gratificante, pois permite que eles resolvam problemas que não sabiam que tinham capacidade de corrigir.