Iki rudens Stambaugh, „Pentera“ vyresnysis pardavimų inžinierius
Manote, kad esate saugus, nes esate suderinamas? Pagalvokite dar kartą. Naujausi tyrimai ir toliau pabrėžia tendenciją, kad pagrindinių saugumo sistemų laikymasis nebūtinai apsaugo nuo duomenų pažeidimų. Pavyzdžiui, 2024 m. Vidutinės duomenų pažeidimo išlaidos siekė visų laikų 4,88 mln. USD, ty 10% daugiau nei praėjusiais metais.
Naujausi aukšto lygio pažeidimai „MGM Resorts“, „AT&T“ ir „Ticketmaster“ įrodo, kad vien atitiktis nesustabdys užpuolikų. Visos šios organizacijos laikėsi atitikties sistemų, tačiau vien atitiktis nesustabdė šių išpuolių.
Vietoj to, priešininkai išnaudojo pažeidžiamumus, kurie nebuvo tinkamai pataisyti, netinkami konfigūracijos, kurios nepastebėtos, ir silpną saugumo kontrolę. Šios organizacijos vis dar patyrė didžiulius kibernetinius išpuolius, dėl kurių susidūrė duomenys, finansiniai nuostoliai ir veiklos sutrikimai.
Atšiauri realybė? Užpuolikai pasiekia jūsų atitikties kontrolinio sąrašo spragas.
Atjungimas tarp atitikties ir saugumo
Atitikties sistemos, tokios kaip PCI-DSS, SEC ir DORA, yra skirtos apsaugoti neskelbtinus duomenis ir sumažinti riziką, suteikdami aiškias rekomendacijas dėl konfidencialumo, vientisumo ir prieinamumo valdymo. Bet šie rėmai yra būtent tokie – gavimas. Jie nenagrinėja šių dienų grasinimų dinamiško pobūdžio ir neįvertina kontrolės organizacijų įgyvendinimo veiksmingumo.
Daugeliui kompanijų atitiktis laikoma finišo linija, o ne saugumo pagrindu. Organizacijos daugiausia dėmesio skiria auditų perdavimui, ugniasienių diegimui ir aptikimo bei reagavimo priemonių diegimui, siekiant patenkinti reguliavimo įgaliojimus.
Tačiau vien atitiktis neišmatuoja, ar šios kontrolės priemonės gali atlaikyti realaus pasaulio grasinimus. Nepertraukiant patvirtinimo, saugumo komandos išlieka aklios, kad spragos, kurias užpuolikai gali išnaudoti.
Aktyvus požiūris: jūsų gynybos, kaip užpuoliko, išbandymas
Užuot pasikliaudamos atitiktimi kaip saugumo strategija, organizacijos turi pasirinkti iniciatyvų požiūrį, patvirtinantį saugumo kontrolę pagal realaus pasaulio atakos metodus. Štai kaip:
Mėgdžioti realaus pasaulio išpuolius
Imituotos atakos atskleidžia saugos spragas, kurių negali aptikti atitikties sistemos. Reguliarūs skverbimosi bandymai, „Red Teaming“ ir automatizuotas nuolatinis patvirtinimas leidžia organizacijoms įvertinti, kaip jų gynyba veikia nuo prieštaringos taktikos. Saugumo kontrolė turėtų būti išbandyta realiomis sąlygomis – ne tik atliekant atitikties auditą.
Spręsti kredencialų poveikį
Pažeistos kredencialai išlieka vienu iš geriausių atakų vektorių. Organizacijos turi aktyviai stebėti, ar nėra jokių kredencialų visuose tamsiame žiniatinklio forumuose ir įklijuoti svetaines, užtikrindamos, kad jos galėtų atšaukti prieigą, kol užpuolikai galės ją išnaudoti. Stiprios slaptažodžių politikos ir daugiafaktorinio autentifikavimo (MFA) vykdymas dar labiau sumažina šią riziką.
Išbandykite ir atnaujinkite nuolat
Kibernetinės grėsmės greitai kyla, o nauji pažeidžiamumai kyla kasdien. Pavyzdžiui, 2023 m. Aptiktas „MoveIt“ perkėlimo perleidimo nulinės dienos pažeidžiamumas lėmė plačius duomenų pažeidimus, turinčius įtakos šimtams organizacijų. Tai pabrėžia, kaip užpuolikai nuolat naudojasi naujomis silpnybėmis, kol saugumo komandos turės galimybę atsakyti.
Organizacijos turėtų teikti pirmenybę vykdomam saugumo testavimui, įskaitant:
- Įprastiniai skverbimosi testai, siekiant nustatyti silpnąsias taškus.
- Reagavimo į įvykį pratybos, skirtos patvirtinti aptikimo ir reagavimo galimybes.
- Konfigūracijos apžvalgos, kad laikui bėgant būtų išvengta saugumo dreifo.
Tarpo užpildymas: atitiktis kaip atskaitos taškas
Nors atitikties sistemos sukuria stiprų pagrindą, jie niekada neturėtų būti traktuojami kaip finišo linija. Organizacijos turi peržengti reguliavimo reikalavimus, įtraukdamos iniciatyvias saugumo priemones, tokias kaip:
- Reguliariai patvirtinti gynybą, kad būtų užtikrintas efektyvumas
- Nustato pardavėjų saugumo ir trečiųjų šalių integracijų spragas
- Pašalinant saugumo silpnybes, kurias sukelia klaidingas konfigūracija, prasta prieigos kontrolė ir pasenusi politika.
Takeaway: atitiktis be bandymo yra rizika
Užpuolikai nerūpi laikymosi – jiems rūpi rasti pažeidžiamumus. Bendrovės, kurios pasikliauja vien tik reguliavimo kontroliniais sąrašais, ir toliau patirs pažeidimus, net ir visiškai sertifikuotos. Saugumo raktas yra ne tik atitikties reikalavimų tenkinimas, bet ir aktyviai testavimas, patvirtinimas ir gynybos gerinimas nuo realaus pasaulio išpuolių.
Norėdami neatsilikti nuo užpuolikų, organizacijos turi traktuoti laikymąsi kaip pagrindą, o ne saugumo strategiją. Investuojant į nuolatinį saugumo patvirtinimą, iniciatyvius testavimą ir priešininko emuliaciją užtikrinama, kad saugumo priemonės veiktų, kai tai svarbiausia.
Ne tik pažymėkite langelį – patikrinkite savo saugumą. Investuokite į automatizuotą saugumo patvirtinimą, suplanuokite įprastus skverbimosi testus ir nuolat ginčijate savo gynybą, kad užtikrintumėte, jog jie gali atlaikyti realaus pasaulio išpuolius.
Susisiekite su „Pentera“ demonstracijai.
Rėmė ir parašė „Pentera“.
