ព័ត៌មាន

តើអ្នកកំពុងវាយតម្លៃការត្រួតពិនិត្យសុវត្ថិភាពរបស់អ្នកមែនទេ? បើដូច្នេះមែន អ្នកត្រូវសួរសំណួរដ៏ត្រឹមត្រូវទាំងនេះ

Testing security controls គឺជាមធ្យោបាយតែមួយគត់ដើម្បីដឹងថាតើពួកគេកំពុងការពារអង្គភាពរបស់ អ្នកពិតប្រាកដទេ។ ជាមួយនឹងក្របខ័ណ្ឌ testing ផ្សេងៗគ្នា និង tool ជាច្រើនដែលជ្រើសចេញពី ជំរើសជាច្រើន។ ប៉ុន្តែ អ្វីដែលអ្នកចង់ដឹងជាពិសេស? ហើយតើការរកឃើញទាក់ទងនឹងការគំរាម កំហែង ដែលអ្នកប្រឈមមុខនៅពេលនេះយ៉ាងដូចម្តេច? “សម្រេចចិត្តទៅ តើអ្វីដែលអ្នកចង់ដឹង ហើយបន្ទាប់មកជ្រើសរើស tool ល្អបំផុតសម្រាប់ការងារ”។ ក្រុមសន្តិសុខជាធម្មតាប្រើ tool សាកល្បង ផ្សេងៗគ្នាដើម្បីវាយតម្លៃហេដ្ឋារចនាសម្ព័ន្ធ។

image

ខណៈពេលដែល vendor-provided tools សាកល្បងដំណោះស្រាយសុវត្ថិភាពជាក់លាក់មួយ ថាតើវា ជាកម្មវិធី web application firewall (WAF), EDR solution ឬជាអ្វីផ្សេង។ pen testing ត្រូវគេប្រើ ជាញឹកញាប់ដើម្បីផ្ទៀងផ្ទាត់ថាការត្រួតពិនិត្យឆ្លើយតបទៅនឹងការអនុលោមតាមច្បាប់ PCI DSS និង ដោយ red teams ដែលជាផ្នែកមួយនៃ broader testing assessments and exercises។

Automated pen tests ជួយឆ្លើយសំណួរថា “អ្នកវាយប្រហារអាចចូលទេ?” ពួកគេអាចជួយកំណត់ ផ្លូវដែលងាយរងគ្រោះ ឬគ្រោះថ្នាក់ខ្ពស់ទៅក្នុងបរិស្ថានមួយ ប៉ុន្តែជាធម្មតាពួកគេមិនគ្របដណ្តប់លើ kill chain ទាំងមូលទេ។ ពួកគេអាចធ្វើត្រាប់តាមបច្ចេកទេសនៃការគំរាមគំហែង និងសូម្បីតែ payloads ផ្សេងៗគ្នា ប៉ុន្តែជាធម្មតាពួកគេមិនចម្លង និងប្រើបច្ចេកទេស automate Tactics, Technique, and Procedures (TTPs) ពេញលេញរបស់អ្នកគំរាមកំហែងពិតប្រាកដនោះទេ។ Automated pen tests ពឹង ផ្អែកលើ human pen testers ដែលមានកម្រិតជំនាញខុសៗគ្នា ដែលធ្វើឱ្យពិបាកទទួលទិន្នន័យ ថេរតាមពេលវេលា។ ភាពខុសគ្នានៃ pen-testing tool និង approaches អាចធ្វើឱ្យស្មុគស្មាញដល់ការ ធ្វើតេស្ត។ ឧទាហរណ៍ វ៉ិចទ័រវាយប្រហារផ្សេងៗគ្នាត្រូវការ tool សាកល្បងផ្សេងៗគ្នា។ ឧបករណ៍ ទាំង នេះក៏មានទំនោរទន់ខ្សោយក្នុងការទទួលស្គាល់ភាពងាយរងគ្រោះនៅក្នុងតក្កអាជីវកម្ម ដែលអាច ច្រឡំលទ្ធផល។ សម្រាប់អង្គការ pen testing មានតម្លៃខ្ពស់ ហើយត្រូវការការធ្វើផែនការជាមុនគួរឱ្យ កត់សម្គាល់ ដែលជារឿយៗកំណត់ការប្រើប្រាស់របស់វាចំពោះការធ្វើតេស្តប្រចាំឆ្នាំ ឬពាក់កណ្តាល ឆ្នាំ។ ហើយសូម្បីតែជាមួយនឹងស្វ័យប្រវត្តិកម្ម pen testing ត្រូវការពេលវេលាអនុវត្ត និងវិភាគ ដែល បន្ថយសមត្ថភាពរបស់អង្គភាពក្នុងការឆ្លើយតបយ៉ាងត្រឹមត្រូវចំពោះការគំរាមកំហែងភ្លាមៗ។

image

The SANS poll រកឃើញថា អ្នកឆ្លើយសំណួរភាគច្រើនសាកល្បងការគ្រប់គ្រងរបស់ពួកគេប្រចាំ ត្រីមាស។ ទោះយ៉ាងណា ការគំរាមកំហែងពិភពលោកវិវត្តជារៀងរាល់ថ្ងៃដោយទុកពេលវេលា ជាច្រើនសម្រាប់ការគំរាមកំហែង ដើម្បីកេងចំណេញចន្លោះប្រហោង ឬចំណុចខ្សោយណាមួយរវាង ការវាយតម្លៃ ដែលគ្រោងទុក។ ប្រសិនបើអ្នកចង់មើលឃើញប្រសិទ្ធភាពនៃការត្រួតពិនិត្យ សុវត្ថិភាព ឥឡូវអ្នកនឹងមានសំណួរបន្ថែមដែលការធ្វើ pen testing មិនអាចឆ្លើយដោយងាយ៖

– តើការគ្រប់គ្រងរបស់អ្នកកំពុងដំណើរការដូចដែលពួកគេត្រូវគេសន្មតថាធ្វើការ ហើយដូចដែល អ្នករំពឹងដែរឬទេ?

– តើការគ្រប់គ្រងលើគ្នាទៅវិញទៅមកបង្កើត និងផ្តល់ទិន្នន័យត្រឹមត្រូវដែរឬទេ? ឧទាហរណ៍ តើ web gateway, firewall និង behavior-based tools របស់អ្នកមានការប្រុងប្រយ័ត្នត្រឹមត្រូវចំពោះ SIEM នៅ ពេលពួកគេរកឃើញសកម្មភាពគួរអោយសង្ស័យមែនទេ?

– តើការកំណត់រចនាសម្ព័ន្ធរសាត់ទៅតាមពេលវេលា ឬត្រូវកំណត់មិនត្រឹមត្រូវទេ? ឧទាហរណ៍ តើការគ្រប់គ្រងត្រូវរកឃើញយ៉ាងសកម្មនូវការគំរាមកំហែង ឬតើពួកគេត្រូវទុក ចោលនៅក្នុង monitoring mode?

– ប្រសិនបើអ្នកដាក់ចេញនូវបច្ចេកវិទ្យាថ្មី ឬការកំណត់ថ្មី តើវាជះឥទ្ធិពលយ៉ាងណាដល់ឥរិយាបថ សុវត្ថិភាពរបស់អ្នក?

– តើការគ្រប់គ្រងអាចការពារប្រឆាំងនឹងការគំរាមកំហែង និងវ៉ារ្យ៉ង់គំរាមកំហែថថ្មីបំផុតទេ?

– តើសន្តិសុខរបស់អ្នកអាចការពារប្រឆាំងនឹងបច្ចេកទេសបំបាំងកាយចុងក្រោយ ដូចជា living off the land (LOTL) ដែលគ្មានការវាយប្រហារដោយអ្នកវាយប្រហារដ៏ទំនើបទេ?

– តើអ្នកអាចមើលឃើញលទ្ធផលនៃសុវត្ថិភាព ដែលទាមទារទាំងដំណើរការរបស់មនុស្ស និង បច្ចេកវិទ្យាទេ?

– តើ blue team របស់អ្នកអាចកំណត់អត្តសញ្ញាណ និងឆ្លើយតបប្រកបដោយប្រសិទ្ធភាពចំពោះការ ដាស់តឿនទេ?

Automated Breach និង Attack Simulation (BAS) tool អាចឱ្យអ្នកឆ្លើយសំណួរទាំងនេះ។ BAS បំពេញបន្ថែមការធ្វើតេស្តតាមពេលវេលាដើម្បីបន្តវាស់វែង និងបង្កើនប្រសិទ្ធភាពនៃការគ្រប់គ្រង សុវត្ថិភាព។ BAS ធ្វើការដោយស្វ័យប្រវត្តិកម្ម ដែលអនុញ្ញាតឱ្យអ្នកធ្វើតេស្តតាមតម្រូវការ ហើយ ដំណោះស្រាយល្អបំផុតវាយតម្លៃការគ្រប់គ្រងដោយផ្អែកលើមេរោគចុងក្រោយបំផុត និងអ្នកគំរាម កំហែង TTPs ដោយមិនចាំបាច់ប្រមូលផ្តុំក្រុមអ្នកជំនាញសន្តិសុខ។ អង្គភាពនានាកំពុងប្រើប្រាស់ ប្រាក់ BAS ដើម្បីធ្វើ៖

– ក្លែងធ្វើការវាយប្រហារដោយមិនបង្កគ្រោះថ្នាក់ដល់បរិស្ថានផលិតកម្ម

– ក្លែងធ្វើការវាយប្រហារនៅទូទាំង kill chain ប្រឆាំងនឹងការគំរាមកំហែងទាំងអស់រួមទាំងអ្នកវាយ ប្រហារ TTP ចុងក្រោយ

– សាកល្បងជាបន្តបន្ទាប់ជាមួយនឹងភាពបត់បែនដើម្បីកំណត់ទិសដៅវ៉ិចទ័រ ហេដ្ឋារចនាសម្ព័ន្ធ និង ក្រុមខាងក្នុងសម្រាប់ការយល់ដឹងប្រឆាំងនឹងការគំរាមកំហែងចុងក្រោយ

– ធ្វើត្រាប់តាមស្វ័យប្រវត្តិកម្មសម្រាប់ការធ្វើម្តងទៀត និងស្ថិតស្ថេរ

– ធ្វើតេស្តនៅចន្លោះពេលណាមួយ រាល់ម៉ោង រាល់ថ្ងៃ ប្រចាំសប្តាហ៍ រឺក៏បង្ហាញលទ្ធផលភ្លាមៗ។

– កំណត់គម្លាត និងវាយតំលៃការត្រួតពិនិត្យប្រឆាំងនឹងក្របខ័ណ្ឌ MITER ATT & CK

– ជំហរផ្នែកសុវត្ថិភាព និងវិធីដោះស្រាយរបស់ក្រុមហ៊ុនដោយប្រើការយល់ដឹងដែលអាចធ្វើទៅ

នៅពេលដែលអ្នកហេគឃរ័អ៊ីនធឺណិតបន្តគំរាមអ្នក អ្នក និងក្រុមការងាររបស់អ្នកត្រូវការការធានាថា ការគ្រប់គ្រងលើ kill chain ពិតជាផ្តល់នូវការការពារ ដែលអ្នកត្រូវការជារៀងរាល់ថ្ងៃ រាល់ម៉ោង ឬរាល់ ពេល។ សម្រាប់បំពេញនូវការរីកលូតលាស់របស់អង្គការកាន់តែច្រើនឡើង BAS កំពុងផ្តល់ទិន្នន័យ ត្រួតពិនិត្យសុវត្ថិភាពជាប្រចាំ និងការវាយតំលៃហានិភ័យតាមអ៊ីនធឺណិត ដែលត្រូវការដើម្បីសម្រេច នូវគោលដៅនោះ។