إن مزايا نشر الاختبارات الهجومية لتعزيز الوضع الأمني للمؤسسة مفهومة جيدًا من قبل القيادة الأمنية اليوم. مما يريح المدافعين كثيرًا، الحصول على الموافقة على الأمن الهجومي لم تكن ممارسة الرياضة أسهل من أي وقت مضى.
ومع ذلك، فإن عملية اختيار حل الاختبار الهجومي الأكثر ملاءمة تتطلب فك تشابك التعريفات المتداخلة والمصطلحات المحددة بشكل غامض مما يترك فرق الأمن أكثر حيرة مما كانت عليه عندما بدأت.
كيف تختلف محاكاة الخصم عن أ الفريق الأحمر؟ ماذا عن أداة محاكاة الاختراق والهجوم (BAS) الجديدة التي حظيت بدعاية كبيرة مؤخرًا؟ هل سيكون من الأسهل الاستثمار في اختبار الاختراق بدلاً من ذلك؟
للمساعدة في تحليل كل هذا، سنوفر إطارًا لفهم القيمة المقترحة لمختلف خدمات الأمن الهجومية من منظور المدافع، مع التركيز على الافتراضات الأساسية الكامنة وراء منهجية كل حل. وسنحدد أيضًا العوامل المهمة التي تساعد في تضييق نطاق أي شكل من أشكال الاختبارات الهجومية يناسب مؤسستك بشكل أفضل.
الغايات والوسائل
لفهم الاختلافات بين أنواع الاختبارات الهجومية، ضع في اعتبارك ما يلي:
- هل يتم اختبار الدفاعات ضد الهجمات بشكل عام أو ضد أعداء محددين؟ هل تتم محاكاة التقنيات الهجومية للحصول على أقصى قدر من الواقعية، أم يتم محاكاتها للتحقق السريع من صحتها؟
يتيح لنا هذا الإطار تصنيف خدمات الأمن الهجومية إلى أربع فئات عامة.
| هجوم | خصم | |
|---|---|---|
| محاكاة | محاكاة الاختراق والهجوم (BAS) | TTP-الفريق الأحمر اللاأدري |
| مضاهاة | اختبار الاختراق | الفريق الأحمر الذي يحركه TTP |
على الرغم من وجود تداخل منهجي في كثير من الأحيان بين الأرباع الأربعة، إلا أنه يمكن استخدام هذا النموذج لفهم مصطلحات الصناعة من وجهة نظر المدافع من خلال التركيز على كيفية وسبب إجراء اختبار الأمان الهجومي.
لاستخدام القياس المنزلي، لنفترض أنك تريد التأكد من أن منزلك آمن من التعرض للاقتحام. سيحدد نوع الاختبار الذي تختاره ما ستتعلمه عن وضعك الأمني.
- محاكاة الاختراق والهجوم (BAS) يركز على التنفيذ المتكرر للهجمات الفردية، عادةً بطريقة آلية، تستهدف قدرات دفاعية محددة، تمامًا مثل تجربة مقبض الباب كل بضع ساعات للتأكد من قفل القفل. ومن الأهمية بمكان أن يتم التركيز على ضمان التحقق من صحة حالة القفل، وليس على الآليات المحددة لكيفية تشغيل المقبض.
- اختبار الاختراقومن ناحية أخرى، فهو تقييم محدد النطاق ومحدد زمنيًا يستهدف هدفًا محددًا، وعادةً ما يكون ذلك بالوعي الكامل لفريق الأمن الداخلي. يشبه هذا استئجار لص محترف لمحاولة الاقتحام خلال مدة محددة، ولكن بحدود معينة – فتح القفل أمر جيد، ولكن تحطيم النافذة أمر خارج عن الحدود!
- الفريق الأحمرسواء كانت مدفوعة بحركة طالبان الباكستانية أم لا، فهي عبارة عن تمرين شامل يستهدف منظمة على غرار ما يفعله خصم حقيقي، وغالبًا ما يكون ذلك دون تقديم تحذير للمدافعين. واستمرارًا للتشبيه، فإن هذا يشبه تكليف المحترفين باقتحام منزلك من البداية إلى النهاية، مثل لص حقيقي، مع القليل من القيود. في هذه الحالة، قد ترغب في تحطيم النافذة لمعرفة ما إذا كانت خدمة أمن المنزل التي دفعت مقابلها تستحق المال.
الأداة المناسبة لهذا المنصب
عند اختيار خدمة أمنية هجومية، يجب على المؤسسات أولاً التأكد من وجود الضوابط الدفاعية الأساسية. سيؤدي إشراك الفريق الأحمر دون التحقق من صحة الضوابط الأساسية إلى ظهور النتائج التي من المحتمل أيضًا أن يتم اكتشافها من خلال اختبار الاختراق.
- أولاً، الاستفادة من BAS لتحديد الثغرات والتكوينات الخاطئة والتحقق من صحة وظائف أدوات الأمان.
- وبالتالي، فإن إجراء اختبارات الاختراق على الشبكات الداخلية وتطبيقات الويب يمكن أن يكشف عن نقاط ضعف إضافية ومسارات هجوم في البرامج المخصصة ومنطق الأعمال.
- أخيرًا، سيختبر الانخراط في الفريق الأحمر مدى استعداد المدافعين لمواجهة هجوم مستهدف في العالم الحقيقي من قبل خصم متطور. يعتمد اختيار ما إذا كان الفريق الأحمر لا يعتمد على TTP أو يعتمد على TTP (محاكاة الخصم مقابل المحاكاة) على ما إذا كنت قلقًا بشأن جهات تهديد أو مجموعات محددة ومهتمًا باختبار دفاعات مخصصة، مثل قواعد الكشف عن TTPs المستخدمة لاستهداف صناعتك.
في حين أنه من المغري القفز مباشرة إلى الشكل “الأكثر واقعية” للاختبار الأمني، فإن هذا الفهم الخاطئ يؤدي إلى قيمة محدودة يتم الحصول عليها من التدريبات الأمنية الهجومية. سوف يسلك الخصوم الطريق الأقل مقاومة داخل المنظمة – قبل تحطيم النافذة، سيفتح اللص قفلك، ولكن قبل ذلك، سيحاولون بالتأكيد استخدام المقبض.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ولا ينبغي تفسيره على أنه نصيحة قانونية أو تنظيمية أو تتعلق بالامتثال أو الأمن السيبراني. يجب على المؤسسات استشارة متخصصيها في الشؤون القانونية أو الامتثال أو الأمن السيبراني فيما يتعلق بالتزامات محددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات المُدارة والاستجابة لها من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية، إلا أنها ليست بديلاً عن المراقبة الشاملة للشبكة، أو إدارة الثغرات الأمنية، أو برنامج الأمن السيبراني الكامل.
