Core Security by HelpSystems. 4 βήματα που πρέπει να ακολουθήσετε μετά από μία δοκιμή παρείσδυσης
Συγχαρητήρια! Μόλις ολοκληρώσατε ένα τεστ παρείσδυσης. Και τώρα τι κάνετε;
Μια δοκιμή παρείσδυσης δεν πρέπει να αντιπροσωπεύει το αποκορύφωμα των προσπαθειών σας όσον αφορά την ασφάλεια. Αντιθέτως, μία τέτοια δοκιμή επικυρώνει ουσιαστικά όσα έχουν γίνει σωστά από τον οργανισμό σας και επισημαίνει τομείς που χρειάζονται βελτιώσεις.
Ακόμα κι αν η δοκιμή έδειξε ότι ήταν δυνατό να αποκτηθεί πρόσβαση με δικαιώματα διαχειριστή και να πραγματοποιηθεί «εσωτερική μετακίνηση» στο δίκτυο σας (lateral movement) δεν σημαίνει ότι έχετε «αποτύχει». Αντίθετα, ο σκοπός μιας δοκιμής παρείσδυσης είναι να προσδιορίσει κενά ασφαλείας και τρωτά σημεία, ώστε ο οργανισμός σας να είναι σε θέση να τα επιδιορθώσει προτού γίνουν αντικείμενο εκμετάλλευσης από κυβερνοεγκληματίες και επιτιθέμενους καθώς και για να ενισχύσετε την δικτυακή ασφάλεια.
Ακολουθήστε τα παρακάτω τέσσερα βήματα για να μεγιστοποιήσετε την αποτελεσματικότητα των δοκιμών παρείσδυσης:
- Αναθεωρήστε και συζητήστε τα αποτελέσματα
- Αναπτύξτε ένα σχέδιο αποκατάστασης
- Επικυρώστε την υλοποίηση και την εφαρμογή
- Επικεντρωθείτε στη διαρκή βελτίωση
Αναθεωρήστε και συζητήστε τα αποτελέσματα
Η διαδικασία που ακολουθεί μετά το τεστ παρείσδυσης ποικίλλει και εξαρτάται από διάφορους παράγοντες: τις ανάγκες της εταιρείας, ποιος ολοκλήρωσε το τεστ παρείσδυσης και την ποιότητα της έκθεσης/αναφοράς.
Μία αναφορά πρέπει να περιλαμβάνει τα εξής στοιχεία:
Σύνοψη επιτυχημένων σεναρίων: Μια σωστή εκτελεστική περίληψη αναφέρει τα βήματα που εκτελέστηκαν, ποια πέτυχαν τον στόχο τους από την πλευρά του εισβολέα και ποια απέτυχαν.
Καταγραφή σε λίστα των πληροφοριών που συγκεντρώθηκαν: Μια ολοκληρωμένη αναφορά θα περιλαμβάνει οποιαδήποτε πληροφορία θα μπορούσε να αποτελεί αδυναμία από άποψη ασφαλείας, συμπεριλαμβανομένων των υπολογιστών, των εφαρμογών, των ταυτοτήτων, των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των διαπιστευτηρίων και τυχόν εσφαλμένων διαμορφώσεων.
Καταγραφή σε λίστα και περιγραφή των ευπαθειών: Επίσης, αναζητήστε μία λίστα προτεραιοποίησης των ευπαθειών που εντοπίστηκαν που περιλαμβάνει βαθμολογία για τις CVE® (Κοινές Ευπάθειες και Εκθέσεις) και τι πιθανότητα «εκμετάλλευσης» τους (exploit). Η κατάταξη των ευπαθειών βάσει της σοβαρότητας τους θα βοηθήσει στη δημιουργία ενός οδικού χάρτη αποκατάστασης. Συνδυάζοντας το παραπάνω με μία λύση διαχείρισης ευπαθειών, μπορείτε να ιεραρχήσετε καλύτερα τις προτεραιότητες με πρόσθετη ανάλυση και σχετικό πλαίσιο επικινδυνότητας.
Λεπτομερής περιγραφή των διαδικασιών: Η περιγραφή και η ιχνηλάτηση όλων των δραστηριοτήτων που εκτελούνται και των αποτελεσμάτων τους θα επιτρέψει στο προσωπικό ασφαλείας σας να επανεξετάσει συγκεκριμένες ευπάθειες μετά την εφαρμογή μίας ενημέρωσης κώδικα (patch) ή την πραγματοποίηση κάποιας διαδικασίας αποκατάστασης.
Επιπλέον, είναι σημαντικό να γνωρίζει η C-suite τι κάνει το τμήμα IT για την προστασία της δικτυακής υποδομής. Μια εκτελεστική έκθεση που περιγράφει τα υψηλότερου-επιπέδου ευρήματα και τα βήματα αποκατάστασης αποτελεί χρήσιμο εκπαιδευτικό υλικό και μπορεί να βοηθήσει στην επιχειρηματολογία σας να βρείτε τους απαραίτητους πόρους για να προχωρήσετε.
Αναπτύξτε ένα σχέδιο αποκατάστασης
Αν και μπορεί να μοιάζει αντιφατικό, αντισταθείτε στην επιθυμία να αρχίσετε να κάνετε άμεσα αλλαγές. Το να καταστρώσετε ένα σχέδιο αποκατάστασης αποτελεί πάντως ένα ουσιαστικό πρώτο βήμα, καθώς σας παρέχει τον χρόνο να δώσετε προτεραιότητα στις προγραμματισμένες επιδιορθώσεις αλλά και να ερευνήσετε τυχόν στρατηγικές μετριασμού που μπορεί να μην κατανοείτε ακόμα πλήρως. Πολλές αναφορές δοκιμών παρείσδυσης περιλαμβάνουν βαθμολογίες για την σοβαρότητα ή την επικινδυνότητα ενός ευρήματος με βάση τις πιθανές επιπτώσεις και την πιθανότητα εκμετάλλευσης του, κάτι που θα σας βοηθήσει να καθορίσετε τις προτεραιότητες σας.
Για κάθε εύρημα θα πρέπει να υπάρχει ένα σχέδιο με προτεραιότητα και, αν είναι δυνατόν, θα πρέπει να ανατεθεί σε κάποιον για την επιδιόρθωση ή την αποκατάσταση του – αλλά με ημερομηνία λήξης. Αυτά τα σχέδια θα πρέπει να φορτωθούν στο σύστημα έκδοσης εισιτηρίων ασφαλείας, ώστε να μπορείτε να παρακολουθείτε την πρόοδο και την ολοκλήρωση κάθε εργασίας.
Θέλετε να αποφύγετε να έχετε τις ίδιες κρίσιμες ευπάθειες μετά από πολλαπλές δοκιμές. Αν δεν παρακολουθείτε τα ευρήματα των δοκιμών παρείσδυσης και δεν τα διορθώνετε όσο το συντομότερο δυνατόν, διακυβεύετε την στάση κυβερνοασφαλείας της εταιρείας σας.
Επικυρώστε την υλοποίηση και την εφαρμογή
Μόλις επιδιορθωθούν ή αποκατασταθούν τα ευρήματα από τη δοκιμή παρείσδυσης, ήρθε η ώρα να επιβεβαιώσετε ότι οι αλλαγές που κάνατε έλυσαν πραγματικά το πρόβλημα. Μπορείτε να εκτελέσετε ξανά το σενάριο που αποκάλυψε την ευπάθεια για να διασφαλίσετε ότι η διαδικασία αποκατάστασης ή η επιδιόρθωση είναι επαρκής. Επιπλέον, η εκτέλεση δοκιμών διείσδυσης σε τακτική βάση μπορεί να παρέχει ενημερωμένες πληροφορίες για τη στάση ασφαλείας σας, ιδιαίτερα μετά την πραγματοποίηση αλλαγών στην υποδομή σας. Αν χρησιμοποιείτε κάποια λύση διαχείρισης ευπαθειών που παρέχει βαθμολογία βάσει επικινδυνότητας, μπορείτε να επανεκτελέσετε σαρώσεις για να διαπιστώσετε αν οι βαθμολογίες σας παρουσιάζονται βελτιωμένες.
Πριν εκτελέσετε ωστόσο τις επόμενες δοκιμές παρείσδυσης, είναι χρήσιμο να αναθεωρήσετε το εύρος και τα ευρήματα των προηγούμενων δοκιμών παρείσδυσης. Το εύρος κάθε δοκιμής παρείσδυσης μπορεί να ποικίλλει σε κατά πολύ, με ορισμένους να εξετάζουν ευρύτερα την υποδομή πληροφορικής τους και άλλους να εστιάζουν σε συγκεκριμένες προβληματικές περιοχές. Λαμβάνοντας υπόψη, ότι μπορείτε να εκτελέσετε πρόσθετες ή διαφορετικές δοκιμές παρείσδυσης, μπορείτε να διασφαλίσετε ότι λαμβάνετε την πολυτιμότερη και πιο ολοκληρωμένη πληροφόρηση.
Επικεντρωθείτε στη διαρκή βελτίωση
Η κυβερνοασφάλεια είναι ένα ταξίδι – και όχι ο προορισμός. Η επόμενη δοκιμή παρείσδυσης σας πιθανότατα θα αποκαλύψει νέα τρωτά σημεία που απαιτούν διαφορετικούς τρόπους διαχείρισης και αντιμετώπισης Αν οι ελεγκτές παρείσδυσης δεν εμφανίσουν ευρήματα, τότε θα πρέπει να αμφισβητήσετε την επάρκεια της αποτελεσματικότητας του τεστ.
Πρέπει επίσης να αναγνωρίσετε ότι ορισμένες ευπάθειες θα απαιτήσουν αλλαγές μεγαλύτερης κλίμακας. Αν για παράδειγμα μία ευπάθεια απαιτεί έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) πρόκειται για ένα μεγάλο έργο που θα απαιτήσει τη δαπάνη κεφαλαίου και χρόνο για να εφαρμοστεί. Ομοίως για την περίπτωση που η εταιρεία σας είναι επιρρεπής στις επιθέσεις phishing. Και σε αυτή τη περίπτωση θα χρειαστεί χρόνος για την εφαρμογή μιας λύσης phishing για να μειώσετε τον κίνδυνο που διατρέχει η επιχείρηση σας.
Αν και μία επιτυχημένη βαθμολογία σε ένα τεστ παρείσδυσης μπορεί να σας βοηθήσει να αποδείξετε τη συμμόρφωση σε εξωτερικούς ελεγκτές, οι δοκιμές παρείσδυσης παρέχουν ακόμη μεγαλύτερη αξία ως αγνωστικιστικές αξιολογήσεις της στάσης ασφαλείας του οργανισμού σας.
Η δουλειά μιας ομάδας ασφαλείας δεν ολοκληρώνεται ποτέ, επομένως θα πρέπει να εστιάσετε στη διαρκή βελτίωση της στάσης ασφαλείας καθώς προετοιμάζεστε για την επόμενη δοκιμή παρείσδυσης.