Badania zewnętrznego zespołu testującego we współpracy z Elavon oceniają solidność i odporność Twojego bezpieczeństwa danych, ujawniając wszelkie luki i słabe punkty, ponieważ nasi „hakerzy” pracują dla Ciebie. Robin Varley, nasz starszy Manager ds. bezpieczeństwa danych, przedstawia wartość płynącą z przeprowadzenia badań infrastruktury cyfrowej i protokołów w Twojej firmie przez zewnętrzny zespół testujący.
W przypadku bezpieczeństwa danych łatwo jest wpaść w pułapkę. Jest to pułapka perspektywy. Gdy kierujesz spojrzenie od wewnątrz na zewnątrz, koncentrujesz się na wszystkich wysiłkach, które zostały włożone w stworzenie solidnego systemu bezpieczeństwa; na czasie spędzonym na testach; na zasobach wykorzystywanych do ciągłego przeglądania i aktualizacji planów.
Ważne jest, by pamiętać, że „powzięcie wszelkich środków ostrożności, jakie możesz sobie wyobrazić” nie jest tożsame z „powzięciem wszystkich środków ostrożności.” Szybkie przejrzenie wiadomości pozwala nam stwierdzić, że nawet największe i najbardziej zaawansowane organizacje ulegają atakom. Co zatem możesz zrobić?
Odpowiedzią jest spojrzenie z innej perspektywy. Zatrudnij specjalistów z zewnątrz, których punkt widzenia może znacznie różnić się od Twojego.
To właśnie robi zewnętrzny zespół testujący.
Zamiast pracować nad wzmocnieniem istniejącej obrony, zatrudniony zewnętrzny zespół testujący symuluje ataki, badając Twoją obronę w celu znalezienia słabych punktów. Poprzez naśladowanie wysoko wykwalifikowanego, dysponującego odpowiednimi zasobami i zmotywowanego hakera, ćwiczenia zewnętrznego zespołu testującego zezwalają uznanym i certyfikowanym konsultantom o międzynarodowych kwalifikacjach na używanie tych samych umiejętności, narzędzi i kreatywnego myślenia, które są tak cenne dla cyberprzestępców. Jedyna różnica polega na tym, że nie pracują dla własnego zysku; pracują dla Ciebie.
Praca z zewnętrznym zespołem testującym- przybliżenie
W tym momencie warto przyjrzeć się temu, na czym polega praca z zewnętrznym zespołem testującym. To pojęcie wywodzi się z amerykańskiej społeczności wywiadowczej, ale obecnie jest używane w odniesieniu do usług świadczonych przez profesjonalnych, etycznych hakerów. Osoby, które tworzą zewnętrzny zespół testujący, to zazwyczaj osoby pracujące w renomowanych firmach konsultingowych zajmujących się bezpieczeństwem informacji, posiadające wysokie kwalifikacje w zakresie testowania bezpieczeństwa sieci.
Zewnętrzny zespół testujący działa na podstawie uprzedniego zezwolenia klienta, a jego celem jest przebicie się przez zabezpieczony obwód własności cyfrowej poprzez wykorzystanie najsłabszego, możliwego do zidentyfikowania punktu, aby uzyskać dostęp do systemu organizacji. Oprócz zbadania technicznych środków kontroli, zespół zbada proceduralne, społeczne i fizyczne komponenty bezpieczeństwa. Może nawet umieścić fizyczne urządzenia na terenie Twojej firmy, podobnie, jak zrobiłby to haker. Pod każdym względem członkowie zespołu wchodzą w buty przestępcy, aby móc dostrzec możliwości, spoglądając z zewnątrz do wnętrza organizacji.
Wykorzystując całą swoją pomysłowość, narzędzia i triki, starają się zdobyć jakiś przyczółek; przekierowują ruch z powrotem przez porty, które są powszechnie dostępne w firmie, zazwyczaj przez sieć internetową, dzięki czemu mogą komunikować się z własnymi serwerami na zewnątrz bez możliwości ich wykrycia. Te nieszkodliwe serwery są następnie wykorzystywane do sterowania urządzeniami, które zostały umieszczone lub przejęte przez hakerów, wewnątrz organizacji klienta.
Nie obawiaj się zewnętrznych zespołów testujących
To wszystko może brzmieć dość przerażająco. Ważne jest, by pamiętać o kilku kluczowych punktach. Po pierwsze, celem tego ćwiczenia nie jest złapanie cię na gorącym uczynku. Celem jest identyfikacja luk, zanim uczyni to haker, abyś mógł podjąć kroki w celu ich zabezpieczenia. Ważne jest, aby zewnętrzny zespół testujący nie dokonał jedynie ataku bez podejmowania innych czynności. Wykwalifikowani konsultanci ds. bezpieczeństwa informacji wykorzystają wiedzę zdobytą podczas symulowanego ataku, aby pomóc w naprawieniu problemów, opracowaniu prężnej strategii i usprawnieniu kształtowania polityki.
Jednak nawet w takim przypadku udostępniasz im całą sieć swojej organizacji i pozwalasz stronie trzeciej na skuteczne naruszenie Twoich zabezpieczeń. Wymaga to wysokiego poziomu zaufania. Tak więc kolejną kwestią, co do której należy się upewnić jest to, czy zewnętrzny zespół testujący jest zespołem najwyższej klasy. Sprawdź jego referencje: złotym standardem jest tu kwalifikacja CREST. Crest jest międzynarodową, nienastawioną na zysk jednostką akredytującą i certyfikującą, reprezentującą i wspierającą rynek bezpieczeństwa informacji. Sprawdź ich doświadczenie. Pozwól na dostęp jedynie tym, którym ufasz.
Czy warto zatrudnić zewnętrzny zespół testujący?
Jak w przypadku wszystkich usług, zatrudnienie zewnętrznego zespołu testującego wiąże się z kosztami. Ale faktyczną kwestią, jaką powinieneś wziąć pod uwagę będzie opłacalność takiego rozwiązania. Patrząc w kontekście poważnego i potencjalnie szkodliwego naruszenia, koszt skorzystania zewnętrznej, fachowej wiedzy jest równoważony przez korzyści, jakie wnosi. To rozwiązanie nie jest dla każdego. W wielu okolicznościach harmonogram badań penetracyjnych o odpowiednim zakresie będzie wystarczający. Zawsze warto zasięgnąć porady eksperta co do tego, czy zatrudnienie zewnętrznego zespołu testującego będzie odpowiednie dla twojego biznesu.
Poniżej przedstawiamy nasze zebrane przemyślenia. Przypomnij sobie znane powiedzenie: „Nie możesz twierdzić, że kogoś naprawdę znasz, chyba, że wszedłeś w jego buty i wczułeś się w jego położenie.” Zewnętrzny zespół testujący wchodzi w buty hakera. Jednak faktycznie idzie o wiele dalej. Zewnętrzny zespół testujący drąży, bada i sonduje; eksploruje i wykorzystuje; identyfikuje nieprzewidywalne podatności, abyś mógł pójść dalej w kierunku ulepszania swojego bezpieczeństwa danych. Z każdym podjętym krokiem oddalasz się od wystąpienia potencjalnego naruszenia.
Pewien mądry człowiek (komik Emo Philips) poszerzył powiedzenie mówiące o wejściu w czyjeś buty, dodając nieco dodatkowej perspektywy: Powiedział on: „Nigdy nikogo nie osądzaj, chyba, że przejdziesz milę w jego butach. Wówczas, kiedy go będziesz osądzał, będziesz o milę dalej i będziesz mógł wczuć się w jego położenie.”
Elavon może pomóc ci w zatrudnieniu zewnętrznego zespołu testującego i będzie Cię wspierać w zakresie dowolnych wyzwań związanych ze Standardem Bezpieczeństwa Danych Posiadaczy Kart (PCI DSS), RODO lub cyberbezpieczeństwa, z którymi możesz się zmagać. Skontaktuj się z nami w celu omówienia Swoich potrzeb z zakresu bezpieczeństwa danych pod adresem data-security@elavon.com.