Da quando sono iniziati i test di sicurezza offensivi, ci aspettavamo che il test o la simulazione troveranno qualcosa. Anche se un tester di penna non scopre un problema, i migliori possono sempre raggiungere il successo attraverso il phishing o l'ingegneria sociale dei dipendenti della tua organizzazione. Nello stesso modo, Squadra rossa-blu Gli esercizi evidenziano la quasi impossibilità di sventare un attaccante motivato: le probabilità di successo favoriscono fortemente l'attaccante e rendono estremamente difficile per il difensore.
Ora, con le organizzazioni che realizzano il valore di Red Team-Blue Team in prova, è importante capire che questo tipo di test riguarda maggiormente l'impatto complessivo su sicurezza informatica squadra che sui risultati individuali. Certo, è importante trovare le carenze nella tua posizione di sicurezza o nella superficie di attacco protetta, ma il tuo team non le scoprirà tutte: il valore più grande deriva dal miglioramento dell'efficacia del tuo team.
È perché sicurezza informatica non è solo un problema tecnico: non si tratta solo di soluzioni di difesa perimetrale, policy, regole, sistemi di rilevamento, patch e altri problemi. Cybersecurity è anche un problema operativo. In particolare con attacchi di alto valore, sicurezza informatica alla fine dipende dalle persone. Gli attacchi sono per lo più pratiche guidate dall'uomo che cercano un percorso di minor resistenza. Allo stesso modo, la difesa informatica coinvolge esperti di sicurezza. Sebbene alcuni sistemi automatizzati possano prevenire o ridurre al minimo attacchi semplici, uno attentamente orchestrato deve essere verificato e gestito dal team di sicurezza.
Perchè questo è un problema? Perché sicurezza informatica le squadre sono oberate di lavoro e a corto di personale. I team non hanno il tempo o le risorse per rispondere a tutti gli avvisi, indagare su tutti gli eventi o rivedere ed evolvere tutte le politiche; e anche le organizzazioni con personale aperto per professionisti della sicurezza aggiuntivi hanno difficoltà a riempire questi slot a causa di una grave carenza globale di sicurezza informatica professionisti. È improbabile che queste condizioni cambino presto. Cybersecurity i team devono diventare più efficienti ed efficaci per concentrarsi sugli eventi che contano davvero. È qui che i test offensivi possono aiutare.
I test Red Team-Blue Team, più di ogni altra cosa, dovrebbero aiutare a rivelare il livello di efficienza ed efficacia del tuo team.
Nel condurre questi esercizi, team di sicurezza informatica possono capire meglio quali dei loro sistemi sono più adatti a scoprire minacce attive significative e quanto bene possono essere viste. È improbabile che i sistemi che forniscono una bassa fedeltà e sono pieni di falsi positivi siano utili in questo sforzo. In effetti, alcuni sistemi possono persino essere controproducenti quando si tratta di efficienza, efficacia e capacità di mantenere un'organizzazione al sicuro. A dire il vero, la valutazione del funzionamento in corso di tali strumenti e sistemi di sicurezza, a parte un esercizio programmato, ne indicherà l'utilità. UN Squadra rossa-blu test, tuttavia, metterà queste esperienze nel contesto dell'attività di attacco e può essere la prova del fuoco per come si comportano.
Alcune organizzazioni hanno modificato Red Team-Blue Team in prova includere un componente Purple Team, ma ciò non cambia l'obiettivo generale. Indipendentemente dal fatto che un Purple Team sia o meno una funzione formalizzata, uno degli obiettivi primari dovrebbe essere la comprensione di "abbiamo quello che serve per scoprire un attacco attivo e prevenire o ridurre al minimo i danni da esso?" Puoi lasciarti coinvolgere dalla nomenclatura e dai disaccordi su come strutturare al meglio test e valutazioni offensive, ma uno dei risultati più importanti dovrebbe essere la comprensione del lato operativo della sicurezza e il modo in cui un team, assistito da strumenti e sistemi, può trovare e fermare un attacco.
Così, Red Team-Blue Team in prova è prezioso non solo per prevedere la risposta della tua organizzazione a un attacco, ma per determinare la tua sicurezza informatica la capacità complessiva del team di rispondere. E quando si eseguono questi test, è fondamentale disporre di strumenti come Piattaforma Cyber stellare, che fornisce avvisi ad alta fedeltà e riduce al minimo i falsi allarmi per aiutare il tuo team a concentrarsi sui problemi reali.
