На разного рода эфирах и интервью я не раз говорил, что наступательная кибербезопасность - хороший инструмент проверки эффективности нашей операционной ИБ (SOC-а с технологиями, процессами и командой). Но, как любой хороший инструмент (практика показывает, что чем большую эффективность от инструмента мы хотим, тем на более узком объеме его следует рассматривать), пентест (в этой заметке для простоты буду использовать "пентест", но понимать буду более широкий спектр различных активностей по анализу защищенности) для проверки SOC годится лишь отчасти, так как:
- в задачи пентеста, как правило, не входит необходимость действовать скрытно, поэтому они шумны и обнаруживаются. Безусловно, все зависит от задач на пентест, но если поставить цель действовать скрытно, то такие работы растянутся на долгие месяцы и будут экономически нерентабельные (решение есть - иметь внутреннюю команду)
- упомянутая выше ограниченность во времени влияет и на глубину проработки. Я не раз рассказывал случай, когда на одном из моих проектов пентестеры нашли потенциальную RCE в Sendmail на HP-UX, однако, ввиду не особой популярности ОС, доступного эксплоита не было, а нечеловеческие усилия не позволили разработать эксплоит самостоятельно в рамках работ на проекте.
- связанная проблема - ограниченность подготовки. На пентесте будут использоваться какие-то старые собственные заготовки, либо вообще публично доступные инструменты, никакие полностью кастомизированные, разработанные исключительно для этой конкретной атаки тулы использоваться не будут.
В общем, пентест существенно отличается от реальной атаки. Ну а обнаруживать-то хочется реальную атаку! И здесь нам на помощь придет Compromise Assessment (например, этот, или этот, или какой другой), который как раз и направлен на обнаружение пропущенных в прошлом атак. По сути CA выдаст список прошлых инцидентов, относительно которых можно далее заглянуть в историю работы своего SOC и посмотреть что там было видно, почему не видно и наметить какие-то улучшения.
На мой взгляд CA, как и пентест, - хороший инструмент оценки результативности SOC, причем, основанный не на синтетических сценариях, а на реальных инцидентах. Все уже давно осознали необходимость периодического пентеста, и даже регуляторка это требует, а вот с СА пока такого нет (ну, разве что, в регионе META я такое видел), а ситуация ровно такая же: периодически надо получать уверенность, что не было пропущенных инцидентов, за одно и проверить результативность SOC-а.
Маленькая очевидная ремарка: если у нас операционная безопасность обеспечивается решениями одного вендора, то СА надо брать от другого вендора. Подобная кросс-валидация решений одного вендора решениями другого позволит и конкуренцию усилить, и, как следствие, повысит качество предложения на рынке.
Итак, CA - отличный инструмент для заказчика, чтобы проверить результативность его SOC: инструментов (NDR, EDR, MDR, MXDR), процессов и профессионализма команды, а также, чтобы наметить дальнейшие планы развития бизнес-функции операционной безопасности.
#vCISO #MDR #управление
- в задачи пентеста, как правило, не входит необходимость действовать скрытно, поэтому они шумны и обнаруживаются. Безусловно, все зависит от задач на пентест, но если поставить цель действовать скрытно, то такие работы растянутся на долгие месяцы и будут экономически нерентабельные (решение есть - иметь внутреннюю команду)
- упомянутая выше ограниченность во времени влияет и на глубину проработки. Я не раз рассказывал случай, когда на одном из моих проектов пентестеры нашли потенциальную RCE в Sendmail на HP-UX, однако, ввиду не особой популярности ОС, доступного эксплоита не было, а нечеловеческие усилия не позволили разработать эксплоит самостоятельно в рамках работ на проекте.
- связанная проблема - ограниченность подготовки. На пентесте будут использоваться какие-то старые собственные заготовки, либо вообще публично доступные инструменты, никакие полностью кастомизированные, разработанные исключительно для этой конкретной атаки тулы использоваться не будут.
В общем, пентест существенно отличается от реальной атаки. Ну а обнаруживать-то хочется реальную атаку! И здесь нам на помощь придет Compromise Assessment (например, этот, или этот, или какой другой), который как раз и направлен на обнаружение пропущенных в прошлом атак. По сути CA выдаст список прошлых инцидентов, относительно которых можно далее заглянуть в историю работы своего SOC и посмотреть что там было видно, почему не видно и наметить какие-то улучшения.
На мой взгляд CA, как и пентест, - хороший инструмент оценки результативности SOC, причем, основанный не на синтетических сценариях, а на реальных инцидентах. Все уже давно осознали необходимость периодического пентеста, и даже регуляторка это требует, а вот с СА пока такого нет (ну, разве что, в регионе META я такое видел), а ситуация ровно такая же: периодически надо получать уверенность, что не было пропущенных инцидентов, за одно и проверить результативность SOC-а.
Маленькая очевидная ремарка: если у нас операционная безопасность обеспечивается решениями одного вендора, то СА надо брать от другого вендора. Подобная кросс-валидация решений одного вендора решениями другого позволит и конкуренцию усилить, и, как следствие, повысит качество предложения на рынке.
Итак, CA - отличный инструмент для заказчика, чтобы проверить результативность его SOC: инструментов (NDR, EDR, MDR, MXDR), процессов и профессионализма команды, а также, чтобы наметить дальнейшие планы развития бизнес-функции операционной безопасности.
#vCISO #MDR #управление
