Международният валутен фонд изчислява, че през последните две десетилетия близо една пета от регистрираните киберинциденти са засегнали световния финансов сектор, което е довело до преки загуби за финансовите дружества в размер на 12 млрд. долара. ЕС не само е забелязал това, но и е на път да предприеме действия.

С влизането в сила днес на Закона за цифровата оперативна устойчивост (DORA) от финансовите институции в ЕС ще се очаква да въведат строги мерки за тестване и доказване на съответствие с новите правила за управление на риска в областта на киберсигурността, докладване на инциденти, тестване на оперативната устойчивост и мониторинг на риска от трети страни. В регламента DORA това се нарича Threat Led Penetration Testing (TLPT). TLPT включва симулиране на реални кибератаки, за да се оцени защитата на организацията срещу сложни заплахи. Целта е да се направи оценка на средата за финансови услуги и да се гарантира, че всички потенциални врати, през които може да влезе нападател, са затворени и че когато една врата се затвори, друга не остава или става отворена.

На най-високо ниво това определя стандарти за устойчивост и сигурност, които са едновременно всеобхватни и непрекъснати. От оперативна гледна точка постигането на това включва дейности, които обхващат специфични и спешни организационни рискове, предприемат целенасочено тестване и съвместно валидиране на защитни мерки и практикуват бдителност при възникващи заплахи. В тази колона ще бъдат очертани задачите, които са необходими на организациите, подлежащи на DORA, за да могат уверено и доказуемо да разбират, да се справят и да предвиждат заплахите, специфични за всеки бизнес.

Разбиране на заплахите

Трудно е да се защитиш, ако нямаш представа срещу какво се изправяш, а историята и безбройните новинарски истории са доказателство, че опитите да се защитиш срещу всякакъв вид цифрови заплахи са глупаво начинание. Поради това първата стъпка към подхода за постигане на съответствие с DORA е профилирането не само на  заплахите, които са насочени към сектора на финансовите услуги, но и конкретно на кои участници и чрез какви тактики, техники и процедури (TTP) е вероятно да бъдете атакувани.

Първо обаче, преди да можете да определите как даден колектив може да ви възприеме и да подходи към вас, трябва да знаете кои сте вие. Така че първият профил, който трябва да се изгради, е на собствения ви бизнес. Не само за финансовите услуги, но и за кой сектор/аспект, за кой регион и накрая какъв е специфичният рисков профил въз основа на критичните активи в организационните и дори партньорските инфраструктури.

Вторият профил започва с настоящата популация от известни групи, които са насочени към сектора на финансовите услуги. След това се преминава към стесняване на кръга до известните банди, които са в съответствие със специфичния профил на насоченост. Оттук, като се използват стандартни модели, като например рамката MITRE ATT&CK, се създава графика на разбираемите цели и ТТП на всеки престъпен колектив, включително техните традиционни и предпочитани методи за достъп и експлоатация, както и техните възможности за избягване, устойчивост и командване и контрол.

Накрая двата подробни профила се обединяват, за да се съпостави графиката на атаката за всеки колектив с организационния профил по отношение на активите, инфраструктурата и „трофейните цели“. Крайният резултат е от решаващо значение за информирането и определянето на подробен план за тестване, който ще идентифицира сценариите, при които даден извършител вероятно би следвал ТТП към критични активи във всяка отделна среда. Сега, когато вече имате картата, е време да поемете на пътешествие.

Справяне със заплахите

С ясното разбиране на действащите лица и установените специфични за организацията заплахи организацията ще предприеме серия от офанзивни (Red Team) и дефанзивни (Purple Team) упражнения, за да провери способността на оперативната инфраструктура да отблъсква атаки, на инфраструктурата за сигурност да реагира бързо на компрометирането и да го спре, както и на бизнеса да продължи с минимални или никакви смущения.

В офанзивен план е Red Teaming. По целенасочен и ориентиран към целта начин Червеният екип ще съпостави профила на разузнавателните данни за заплахите с конкретни активи и динамиката на средата и ще ги тества, за да определи всички активи, които са уязвими за TTP в рамките на профила. За да бъде ясно в началото, и особено за DORA, процесът, предприет за Червения екип, както и за Пурпурния екип, не е универсален. За да бъде задълбочено изпълнението на изискваната строгост в DORA, процесът следва да бъде многофазен и всеки процес следва да бъде тестван и проследен от край до край с всеки профил на извършител поотделно.

Най-добрите червени екипи се ръководят и направляват от разбирането на атаката и трофейните цели, които представляват най-голям организационен риск. Въз основа на картата на извършителя и организацията екипът ще разгърне комбинация от тестове, които включват както човешки, така и технологични елементи – от социално инженерство и физическа сигурност до приложения, мрежи и облаци. Те се стремят да оценят уязвимостта – както поотделно, така и колективно – на звената във вероятната верига на атаката, както и жизнеспособността за достигане на трофейната цел.

Докато червените екипи действат „на сляпо“, без пълна информираност или комуникация, лилавите екипи  работят с широко отворени очи и уши. Пурпурните екипи провеждат обходи „на живо“, които позволяват на Червените екипи и Сините екипи (вътрешни екипи за отбранителна сигурност) открито да разиграват ситуации на атака и да определят степента, в която защитата може бързо да открие и да осуети опитите за нападение.

Освен това оценяването на нивото на готовност и устойчивост не трябва да се ограничава до технологиите, а да обхваща и хората и инфраструктурата на процесите, които биха били необходими за реакция при криза. Това се прави с помощта на симулации Tabletop, за да се определи силата и адаптивността на организационните заинтересовани страни (вътрешни и външни), ориентацията и бизнес процесите по отношение на реакцията при инциденти.

Разбира се, както при всяка дейност, свързана със спазването на изискванията, резултатите не само са важни, но и се изискват. По отношение на дейностите и резултатите трябва да бъдат изготвени документирани възможности/мерки за отстраняване на нередности, валидирана устойчивост и пътна карта за готовност. Това е необходимо както за спазване и демонстриране на съответствие с изискванията на DORA, така и за създаване на механизми за непрекъснато организационно усъвършенстване и дисциплина в тази област. Това обаче не свършва дотук. Всъщност то никога не трябва да свършва.

Предвиждане на заплахите

Всичко се променя, а с промяната идват и нови иновации и мотивации – както за предприятията за финансови услуги, така и за заплахите, които се насочват към тях. Дори и при ниво на увереност в текущата позиция и планове, наблюдението на заплахите трябва да бъде непрекъсната дейност, за да се съобрази с все още неизвестни или напълно нови рискове, които възникват без предупреждение.

Тестването трябва да бъде комбинация от планирана, периодична и/или по заявка оценка на организационната атакуваща повърхност и средата на заплахите. Инфраструктурата на активите следва да бъде под постоянно наблюдение за всякакви промени в състава, свързаността и дейността, които могат да променят условията за излагане на риск.

Приложенията и ресурсите следва да се подлагат на цялостно тестване както редовно, така и за да се съобразят с всякакви актуализации, нови асоциации или новооткрити уязвимости в софтуера или компонентите.

Също така трябва да се следи за промени в профилите на участниците или пейзажа. Това включва нови TTP, инструменти/инфраструктура или нови участници, които са се появили на сцената. Съответствието с DORA не е малко начинание и изисква правилния партньор, който да гарантира не само съответствие, но и среда на готовност и непрекъснато усъвършенстване. Крайният резултат обаче е инвестиция, която ще продължи да носи дивиденти – и да защитава.

Автор: Тревин Еджуърт директор на практиката на червения екип в Bishop Fox

Източник: e-security.bg

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
04/02/2025

Над 700 уязвимости са изпол...

Броят на уязвимостите, за които е...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!