Международният валутен фонд изчислява, че през последните две десетилетия близо една пета от регистрираните киберинциденти са засегнали световния финансов сектор, което е довело до преки загуби за финансовите дружества в размер на 12 млрд. долара. ЕС не само е забелязал това, но и е на път да предприеме действия.
С влизането в сила днес на Закона за цифровата оперативна устойчивост (DORA) от финансовите институции в ЕС ще се очаква да въведат строги мерки за тестване и доказване на съответствие с новите правила за управление на риска в областта на киберсигурността, докладване на инциденти, тестване на оперативната устойчивост и мониторинг на риска от трети страни. В регламента DORA това се нарича Threat Led Penetration Testing (TLPT). TLPT включва симулиране на реални кибератаки, за да се оцени защитата на организацията срещу сложни заплахи. Целта е да се направи оценка на средата за финансови услуги и да се гарантира, че всички потенциални врати, през които може да влезе нападател, са затворени и че когато една врата се затвори, друга не остава или става отворена.
На най-високо ниво това определя стандарти за устойчивост и сигурност, които са едновременно всеобхватни и непрекъснати. От оперативна гледна точка постигането на това включва дейности, които обхващат специфични и спешни организационни рискове, предприемат целенасочено тестване и съвместно валидиране на защитни мерки и практикуват бдителност при възникващи заплахи. В тази колона ще бъдат очертани задачите, които са необходими на организациите, подлежащи на DORA, за да могат уверено и доказуемо да разбират, да се справят и да предвиждат заплахите, специфични за всеки бизнес.
Трудно е да се защитиш, ако нямаш представа срещу какво се изправяш, а историята и безбройните новинарски истории са доказателство, че опитите да се защитиш срещу всякакъв вид цифрови заплахи са глупаво начинание. Поради това първата стъпка към подхода за постигане на съответствие с DORA е профилирането не само на заплахите, които са насочени към сектора на финансовите услуги, но и конкретно на кои участници и чрез какви тактики, техники и процедури (TTP) е вероятно да бъдете атакувани.
Първо обаче, преди да можете да определите как даден колектив може да ви възприеме и да подходи към вас, трябва да знаете кои сте вие. Така че първият профил, който трябва да се изгради, е на собствения ви бизнес. Не само за финансовите услуги, но и за кой сектор/аспект, за кой регион и накрая какъв е специфичният рисков профил въз основа на критичните активи в организационните и дори партньорските инфраструктури.
Вторият профил започва с настоящата популация от известни групи, които са насочени към сектора на финансовите услуги. След това се преминава към стесняване на кръга до известните банди, които са в съответствие със специфичния профил на насоченост. Оттук, като се използват стандартни модели, като например рамката MITRE ATT&CK, се създава графика на разбираемите цели и ТТП на всеки престъпен колектив, включително техните традиционни и предпочитани методи за достъп и експлоатация, както и техните възможности за избягване, устойчивост и командване и контрол.
Накрая двата подробни профила се обединяват, за да се съпостави графиката на атаката за всеки колектив с организационния профил по отношение на активите, инфраструктурата и „трофейните цели“. Крайният резултат е от решаващо значение за информирането и определянето на подробен план за тестване, който ще идентифицира сценариите, при които даден извършител вероятно би следвал ТТП към критични активи във всяка отделна среда. Сега, когато вече имате картата, е време да поемете на пътешествие.
С ясното разбиране на действащите лица и установените специфични за организацията заплахи организацията ще предприеме серия от офанзивни (Red Team) и дефанзивни (Purple Team) упражнения, за да провери способността на оперативната инфраструктура да отблъсква атаки, на инфраструктурата за сигурност да реагира бързо на компрометирането и да го спре, както и на бизнеса да продължи с минимални или никакви смущения.
В офанзивен план е Red Teaming. По целенасочен и ориентиран към целта начин Червеният екип ще съпостави профила на разузнавателните данни за заплахите с конкретни активи и динамиката на средата и ще ги тества, за да определи всички активи, които са уязвими за TTP в рамките на профила. За да бъде ясно в началото, и особено за DORA, процесът, предприет за Червения екип, както и за Пурпурния екип, не е универсален. За да бъде задълбочено изпълнението на изискваната строгост в DORA, процесът следва да бъде многофазен и всеки процес следва да бъде тестван и проследен от край до край с всеки профил на извършител поотделно.
Най-добрите червени екипи се ръководят и направляват от разбирането на атаката и трофейните цели, които представляват най-голям организационен риск. Въз основа на картата на извършителя и организацията екипът ще разгърне комбинация от тестове, които включват както човешки, така и технологични елементи – от социално инженерство и физическа сигурност до приложения, мрежи и облаци. Те се стремят да оценят уязвимостта – както поотделно, така и колективно – на звената във вероятната верига на атаката, както и жизнеспособността за достигане на трофейната цел.
Докато червените екипи действат „на сляпо“, без пълна информираност или комуникация, лилавите екипи работят с широко отворени очи и уши. Пурпурните екипи провеждат обходи „на живо“, които позволяват на Червените екипи и Сините екипи (вътрешни екипи за отбранителна сигурност) открито да разиграват ситуации на атака и да определят степента, в която защитата може бързо да открие и да осуети опитите за нападение.
Освен това оценяването на нивото на готовност и устойчивост не трябва да се ограничава до технологиите, а да обхваща и хората и инфраструктурата на процесите, които биха били необходими за реакция при криза. Това се прави с помощта на симулации Tabletop, за да се определи силата и адаптивността на организационните заинтересовани страни (вътрешни и външни), ориентацията и бизнес процесите по отношение на реакцията при инциденти.
Разбира се, както при всяка дейност, свързана със спазването на изискванията, резултатите не само са важни, но и се изискват. По отношение на дейностите и резултатите трябва да бъдат изготвени документирани възможности/мерки за отстраняване на нередности, валидирана устойчивост и пътна карта за готовност. Това е необходимо както за спазване и демонстриране на съответствие с изискванията на DORA, така и за създаване на механизми за непрекъснато организационно усъвършенстване и дисциплина в тази област. Това обаче не свършва дотук. Всъщност то никога не трябва да свършва.
Всичко се променя, а с промяната идват и нови иновации и мотивации – както за предприятията за финансови услуги, така и за заплахите, които се насочват към тях. Дори и при ниво на увереност в текущата позиция и планове, наблюдението на заплахите трябва да бъде непрекъсната дейност, за да се съобрази с все още неизвестни или напълно нови рискове, които възникват без предупреждение.
Тестването трябва да бъде комбинация от планирана, периодична и/или по заявка оценка на организационната атакуваща повърхност и средата на заплахите. Инфраструктурата на активите следва да бъде под постоянно наблюдение за всякакви промени в състава, свързаността и дейността, които могат да променят условията за излагане на риск.
Приложенията и ресурсите следва да се подлагат на цялостно тестване както редовно, така и за да се съобразят с всякакви актуализации, нови асоциации или новооткрити уязвимости в софтуера или компонентите.
Също така трябва да се следи за промени в профилите на участниците или пейзажа. Това включва нови TTP, инструменти/инфраструктура или нови участници, които са се появили на сцената. Съответствието с DORA не е малко начинание и изисква правилния партньор, който да гарантира не само съответствие, но и среда на готовност и непрекъснато усъвършенстване. Крайният резултат обаче е инвестиция, която ще продължи да носи дивиденти – и да защитава.
Автор: Тревин Еджуърт, директор на практиката на червения екип в Bishop Fox
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.