“Seorang petinju memperoleh keuntungan terbesar dari mitranya yang berdebat …”
– Epictetus, 50–135 iklan
Tangan ke atas. Dagu terselip. Lutut ditekuk. Lonceng berdering, dan kedua petinju bertemu di tengah dan lingkaran. Red membuang tiga pukulan, mengomentari keempat, dan – bang – mendanai tangan kanan di atas biru di tengahnya.
Ini bukan hari pertama Blue dan meskipun pertahanannya yang solid di depan cermin, dia merasakan tekanan. Tapi sesuatu berubah di atas ring; Variasi pukulan, tipuan, intensitas – tidak seperti simulasi pelatihnya. Apakah pertahanan saya cukup kuat untuk menahan ini? Dia bertanya -tanya, Apakah saya bahkan memiliki pertahanan?
Pelatihnya meyakinkannya, “Jika bukan karena semua latihan Anda, Anda tidak akan membela tusukan pertama itu. Anda punya pembelaan – sekarang Anda perlu mengkalibrasi. Dan itu terjadi di atas ring.”
Cybersecurity tidak berbeda. Anda dapat mengangkat tangan – memberikan arsitektur, kebijakan, dan langkah -langkah keamanan yang tepat – tetapi celah terkecil dalam pertahanan Anda dapat membiarkan penyerang mendaratkan pukulan knockout. Satu -satunya cara untuk menguji kesiapan Anda adalah di bawah tekanan, perdebatan di atas ring.
Perbedaan antara latihan dan pertarungan nyata
Dalam tinju, mitra sparring berlimpah. Setiap hari, pejuang melangkah ke ring untuk mengasah keterampilan mereka melawan lawan nyata. Namun dalam cybersecurity, mitra sparring lebih jarang. Yang setara adalah pengujian penetrasi, tetapi Pentest terjadi di organisasi khas hanya setahun sekali, mungkin dua kali, paling baik setiap kuartal. Dibutuhkan persiapan yang luas, mengontrak agen spesialis yang mahal, dan menutup lingkungan untuk diuji. Akibatnya, tim keamanan sering berbulan -bulan tanpa menghadapi kegiatan permusuhan yang sebenarnya. Mereka patuh, tangan mereka terangkat dan dagu mereka terselip. Tetapi apakah mereka akan tangguh diserang?
Konsekuensi dari pengujian yang jarang
1. Drift: erosi pertahanan yang lambat
Ketika seorang petinju berbulan -bulan tanpa perdebatan, intuisi mereka tumpul. Dia menjadi korban konsep yang dikenal sebagai “inci” di mana dia memiliki langkah defensif yang tepat tetapi dia merindukannya dengan inci, tertangkap oleh tembakan dia tahu cara mempertahankannya. Dalam keamanan siber, ini mirip dengan Drift Konfigurasi: Perubahan tambahan di lingkungan, apakah itu pengguna baru, aset yang sudah ketinggalan zaman, tidak lagi menghadiri port, atau kerugian bertahap dalam kalibrasi defensif. Seiring waktu, kesenjangan muncul, bukan karena pertahanan hilang, tetapi karena mereka telah tidak sejajar.
2. Kesenjangan yang tidak terdeteksi: Batas shadowboxing
Seorang petinju dan pelatih mereka hanya bisa mendapatkan pelatihan sejauh ini. Bantuan Shadowboxing dan Bor, tetapi pelatih tidak akan menyebut kesalahan yang tidak mencolok, yang bisa membuat petinju rentan. Mereka juga tidak dapat mereplikasi ketidakpastian lawan nyata. Ada terlalu banyak hal yang bisa salah. Satu -satunya cara bagi seorang pelatih untuk menilai keadaan petinju adalah dengan melihat bagaimana ia dipukul dan kemudian mendiagnosis mengapa.
Demikian pula, dalam keamanan siber, permukaan serangan sangat luas dan terus berkembang. Tidak ada penilaian pensam yang dapat mengantisipasi setiap vektor serangan yang mungkin dan mendeteksi setiap kerentanan. Satu -satunya cara untuk mengungkap kesenjangan adalah dengan menguji berulang kali terhadap skenario serangan nyata.
3. Lingkup Pengujian Terbatas: Bahaya Pengujian Sebagian
Seorang pelatih perlu melihat pejuang mereka diuji terhadap berbagai lawan. Dia mungkin baik -baik saja melawan lawan yang terutama melempar headshots, tetapi bagaimana dengan body punchers atau counterpunchers? Ini mungkin area untuk perbaikan. Jika tim keamanan hanya menguji terhadap jenis ancaman tertentu, dan tidak memperluas jangkauan mereka ke eksploitasi lain, baik mereka mengekspos kata sandi atau salah konfigurasi, mereka berisiko membiarkan diri mereka terpapar pada titik akses lemah apa pun yang ditemukan oleh penyerang. Misalnya, aplikasi web mungkin aman, tetapi bagaimana dengan kredensial bocor atau integrasi API yang meragukan?
https://www.youtube.com/watch?v=t3ndksdbjo0
Konteks penting dalam hal memprioritaskan perbaikan
Tidak setiap kerentanan adalah pukulan knockout. Sama seperti gaya unik petinju dapat mengkompensasi kelemahan teknis, kompensasi kontrol dalam cybersecurity dapat mengurangi risiko. Ambil Muhammad Ali, dengan standar buku teks, pembelaannya cacat, tetapi atletis dan kemampuan beradaptasi membuatnya tidak tersentuh. Demikian pula, tangan depan rendah Floyd Mayweather mungkin tampak seperti kelemahan, tetapi gulungan bahunya mengubahnya menjadi kekuatan defensif.
Dalam keamanan siber, pemindai kerentanan sering kali menyoroti lusinan – jika bukan ratusan – masalah. Tapi tidak semuanya sangat penting. Semua lingkungan TI berbeda dan CVE tingkat tinggi dapat dinetralkan dengan kontrol kompensasi, seperti segmentasi jaringan atau kebijakan akses yang ketat. Konteks adalah kunci karena memberikan pemahaman yang diperlukan tentang apa yang membutuhkan perhatian segera versus apa yang tidak.
Biaya tinggi pengujian yang jarang
Nilai pengujian terhadap musuh nyata bukanlah hal baru. Petinju berdebat untuk mempersiapkan perkelahian. Tim keamanan siber melakukan tes penetrasi untuk mengeraskan pertahanan mereka. Tetapi bagaimana jika petinju harus membayar puluhan ribu dolar setiap kali mereka bertengkar? Pembelajaran mereka hanya akan terjadi di atas ring – selama pertarungan – dan biaya kegagalan akan sangat menghancurkan.
Ini adalah kenyataan bagi banyak organisasi. Pengujian penetrasi tradisional mahal, memakan waktu, dan seringkali terbatas dalam lingkup. Akibatnya, banyak tim hanya menguji sekali atau dua kali setahun, membuat pertahanan mereka tidak terkendali selama berbulan -bulan. Ketika serangan terjadi, kesenjangan terpapar – dan biayanya tinggi.
Pengujian Proaktif yang Berkelanjutan, Proaktif
Untuk benar -benar mengeraskan pertahanan mereka, organisasi harus bergerak melampaui pengujian tahunan yang jarang. Sebaliknya, mereka membutuhkan pengujian otomatis yang terus menerus yang meniru serangan dunia nyata. Alat -alat ini meniru aktivitas permusuhan, mengungkap kesenjangan dan memberikan wawasan yang dapat ditindaklanjuti tentang tempat untuk memperketat kontrol keamanan, bagaimana cara mengkalibrasi ulang pertahanan, dan memberikan perbaikan yang tepat untuk remediasi. Melakukan semuanya dengan frekuensi reguler dan tanpa biaya pengujian tradisional yang tinggi.
Dengan menggabungkan validasi keamanan otomatis dengan keahlian manusia, organisasi dapat mempertahankan postur defensif yang kuat dan beradaptasi dengan ancaman yang berkembang.
Pelajari lebih lanjut tentang pentesting otomatis dengan mengunjungi Pentera.
Catatan: Artikel ini ditulis secara ahli dan disumbangkan oleh William Schaffer, perwakilan pengembangan penjualan senior di Pentera.
