מודל בגרות אופנסיבי
ליישם אבטחת מידע והגנת הסייבר אינו דבר פשוט, ובפרט שמדובר על תהליכי תקיפה והגנה וסגירת הממצאים שביניהם.
תהליכי תקיפה זה לא רק לקחת כלים, סט בדיקות או פקודות ולהריץ אותם מול המערכות, למעשה החלק הזה של הפעולות הוא החלק הקל. מטרת תהליכי תקיפה הם לתקוף את הארגון במטרה לשפר יכולות זיהוי, לשמור על עירנות של האנליסטים ב SOC, לזהות מיסקונפיגורציות, להבין את נקודות הכניסה, להבין נקודות חיכוך ובכלל לתת אינדיקציה על היחס שבין הפערים והחשיפות אל מול הגנות הסייבר ותהליכי התגובה ביומיום.
ארגונים מוצפים בסיכונים, חשיפות, איומים ובעיות אבטחה אינסופיות תוך שהם מתמודדים גם עם בעיות אחרות כמו ריבוי כלים ומערכות, משאבים מוגבלים, מרדף אחר ארנבים (בתקריות) ומחסור מתמשך באנשים וכישרונות. כידוע, בסייבר התקפי, המשימה העיקרית היא לחפש, למצוא ולהאיר את הסיכונים באשר הם, בין אם מדובר על סיכונים קריטיים או בין אם מדובר על הסיכונים הקטנים. משם, להעביר את הסיכונים הללו לצוותי הגנה (או SecOps) בכדי שהנכסים יישארו מאובטחים ובמטרה לצמצם חשיפות ופערים בתשתית האבטחה.
הקטע החשוב הוא לתחום ולעשות סקופינג של הפעולות והבדיקות בכדי לתת תמונת מצב רלוונטית ולהציף ממצאים בעלי ערך.
כאשר מיישמים ומבצעים סייבר התקפי עולים תריסרי שאלות, השאלות הבאות הן רק חלק קטן.
- האם ליישם מודל התקפי כלשהוא,קרי, Mautiry Model או אחר?
- האם להתחיל מהדברים הקטנים, או "לשבור" את תשתיות המחשוב וכלי האבטחה?
- האם לערב את הצוות הכחול בכל מבדק? או לרוץ על התקיפות?
- מהו התהליך כאשר מוצאים בעיה קריטית?
- מהו זמן הסגירה לממצאים קריטיים?
- האם מבצעים בדיקה על כל מערכת?
- האם ישנם שגרות תקיפה מידי יום?
- האם הארגון בשל לצוותים אופנסיביים?
- האם ישנו צוות ייעודי או משלבים גורמים חיצוניים?
- האם סריקת פגיעויות נעשית ע"י צוות אדום או צוות אחר?
- מתי התהליך הופך לאוטומטי? והאם כלי אוטומציה יכולים לקחת חלק בתהליך?
כאמור, אלה הם רק חלק מינורי מהשאלות וכמו בכל יישום, תהליך ומתודולוגיה – גם בסייבר התקפי צריך להיות תהליך ומודל בשלות מסוים שמותאם (Tailoer-Made) לכל ארגון ולכל סביבה. החלק של לדפוק בפטיש (לתקוף ללא הפסקה) הוא החלק הקל, אבל לא כך נעשים הדברים כי תהליך התקפי צריך להיות תהליך סדור ולשלב איתו גורמים נוספים ומטרה ברורה.
חשוב להדגיש, במידה ומבצעים פעילות התקפית ואין תהליך סגירה של ממצאים (רמדיאציה) תוך זמן מוגדר מראש ובהתאם לממצאים, אז אין משמעות לביצוע פעולות התקפיות כחלק משגרות, ולכן העמסה של ממצאים מתוך תהליכי תקיפה שאינם מקבלים את מלוא תשומת הלב הנדרשת אינה יעילה.
איך מתחילים ומשם עוברים למצב מתקדם יותר של בדיקות התקפיות? למשל, לסריקות פגיעויות מסורתיות יש מטרה, אך התוקפים והטקטיקות שלהם הפכו מצד אחד למורכבים, ומצד שני עדיין נשארו פשוטים, ולכן אין אפשרות להיות שאננים בהסתמכות על בדיקות בסיסיות או רגילות בלבד. למשל, תבניות מוכנות של סורקי פגיעויות מציפים אלפי פגיעויות אך לא מדרגים את אופן הסיכון שלהם בהלימה עם הדרישה הארגונית ואל מול הנכסים הרגישים.
על מנת להתפתח בעולם הדינמי של סייבר מומלץ לפתח אסטרטגיית אבטחה ההתקפית והרבה מעבר לסריקות ובדיקות מסורתיות ורגילות, ולכן כדאי, להישאר עדיין פשוטים (ראו ערך מקרה UBER), ולצד זה, להיכנס לנעלי התוקף ולהביא חדשנות ויצירתיות בכדי להקדים סיכונים ואיומים מתקדמים. איפה החדשנות מוצאת אותנו בסייבר התקפי? בסביבות היברידיות ובפרט ענניות והרכיבים שבהם כמו, קוברנטיס, API, אפליקציות, Serverless, ביזור ועוד, שנמצאים בסביבות אלה משאירות ארגונים חשופים, כתוצאה מכך, צוותי הגנה ואבטחה בתוך הארגון אינם יודעים איך להכיל תקיפות אלה ולעיתים קרובות אין כלים נדרשים ונכונים.
מודל בשלות אופנסיבי
בעוד שישנם דיונים רבים על האופן שבו ניתן למדוד את המודל והבשלות של צוותים אופנסיביים, למודל בשלות אבטחה התקפית עלולים להיות מתודולוגיות ופריימוורקים רבים ולכן צריך לבחור רק אחד או לשלב, כזה שמתאים לפרק זמן מסוים, כי מודל יכול להשתנות עם הבגרות של הצוות והארגון. במידה ומשלבים מודלים עלינו לדאוג שהם יהיו מצומצמים ככל האפשר.
בעוד שמודלים, מתודולוגיות ופריימוורקים התקפים יכולים להשתנות, עדיין ישנם עקרונות שלפיהם כדאי להתבסס, החל מהשלב המוקדם של סריקת פגיעויות ועד לסימולציות תקיפה. הדיאגרמה הבאה מביאה חמשת עקרונות לפי סדר מסוים, אבל כמו בכל יישום וסביבה, יש לעשות אדפטציה אל מול מבנה צוות הסייבר הארגוני (סוגי צוותים, בשלות ארגונית, כלים, כישורים בצוות, כ"א ועוד).
עקרונות במודל בשלות אופנסיבית
המודל שמוצג כאן מתבסס על מודל חמשת השלבים האופנסיבי:
– סריקות פגיעויות
– בדיקות חדירה (PT)
– צוותים אדומים (RT)
– חיקוי היריב (adversary emulation)
– סימולציות תקיפה (adversary simulation)
סורקי פגיעות
החלק הראשון והפשוט לכאורה במודל הוא סריקת פגיעויות. רוב הסיכויים שבסביבת המחשוב שלך יש סורק פגיעויות כזה או אחר. בין אם סורק הפגיעויות עושה את העבודה או נמצא כמערכת נוספת שנמצאת בתמונת כלי האבטחה (סוג של עציץ), עדיין יש לבצע איתו סריקות, לקבל תוצאות ואולי תובנות ומשם להריץ תיעוד.
סורקי פגיעויות מוגדרים כבדיקה של נקודות ניצול פוטנציאליות בנכסים או ברשת כדי לזהות פגיעויות אבטחה, וסורקים אלה מבצעים בדיקות בסיסיות כדי לסרוק, לזהות ולסווג חולשות בתשתית המחשוב הארגונית, וכן בנכסים של הסריקה. סורקי פגיעויות מביאים המון יתרונות לצד חסרונות.
היתרונות העיקריים של סורקי פגיעויות
מספקים תוצאות מהירות – סורקי פגיעויות מספקות תוצאות מהירות במיוחד, וכבר בשלב הראשון נותנות תוצאות, תובנות, מצב קיים ומידע רב אודות סריקות המערכת והנכסים שהוגדרו לסריקה. לסורק פגיעויות תהיה הרבה עבודה מעשית עבורך ועבור הצוות שלך וכל זאת בכדי לשפר את מצב האבטחה הארגוני.
פשוטים וניתנים לתפעול – לרוב, סורקי פגיעויות הם ברובם אוטומטיים, מה שצריך להקל על הפעלתם באופן מחזורי, בין אם מריצים מידי יום, שבוע או חודש כדי לקבל עדכונים על פגיעויות חדשות ואף פגיעויות מתוקנות מסריקות קודמות.
סריקות קלות וכניסה מהירה – האמרה הפשוטה של צריך "להתחיל איפשהו" מצלצלת טוב ובאה נכון, מכיוון שסריקות אלה קלות לשימוש ומספקות כניסה קלה והבנה מהירה של מצב הפגיעויות בתשתית המחשוב ופערי אבטחה עם פגיעויות קריטיות.
אגב, גם בתהליך של ניהול סריקת פגיעויות יש מודל בגרות
החסרונות העיקריים של סורקי פגיעויות
למרות שסורק פגיעויות הוא שימושי ביותר, לסורק פגיעויות יש חסרונות
פערים בסריקות – סריקת פגיעויות הן פשוט סט של בדיקות בסיסיות שנועדו למצוא פגיעויות. סורקי פגיעויות אוטומטיים אינם יכולים להתאים ולאלתר או לשרשר יחד פערים שונים כדי לנצל תצורות שגויות, שהן כמה מהפגיעות הנפוצות ביותר ובעלות ההשפעה הגבוהה ביותר שארגונים צריכים להתמודד איתן.
תשומות ניהול – ישנו צורך בעדכון סורקי פגיעויות באופן עקבי כדי שיפעל כראוי. תעשיית הסייבר היא תעשייה שנעה במהירות ומידי יום מתגלים Zero-Day, טקטיקות, טכניקות ונהלים חדשים (TTPs). לכן אנו צריכים לעדכן מוקדם ככל האפשר ולעתים קרובות כדי לתפוס את האיומים החדשים האלה בסריקות.
חוסר עקביות – אחרי הכל סורקי פגיעויות אינם עקביים במיוחד בתוצאותיהם, וכל בדיקה תכלול ככל הנראה כמה תוצאות חיוביות כוזבות בנוסף לכמויות עצומות של מידע ושל הממצאים שאינם נראים דרך הסורקים.
החלק הבעייתי ביותר של סורקי פגיעויות הוא החיבור אל העולם האמיתי. כידוע, כל סורק פגיעויות מספק כמויות פסיכיות של מידע וכזה שאינו מותאם לשטח ולתשתית הארגון. הצורך כיום הוא ניתוח התוצאות בהתאמה אישית לתשתית הארגון, משם להצליב את המידע ולוודא האם ישנם דרכי יישום בשטח, ולבסוף להצמיד את הפגיעויות אל נכסים רגישים ולתת את התובנות האלה בצורה לעוסה – המצב הזה אינו קיים בשטח ומצריך תשומות ניהול גבוהות מאוד.
בעוד שלסורקי פגיעויות יש בעיות, עדיין הנתונים מספקים בסיס ואולי גם ערך עבור תוכנית אבטחה סדורה, מכיוון שהם מעניקים לבדיקה נקודת זינוק והבנה היכן ישנן פגיעויות מעשיות שניתן לנצל. בנוסף, סורקים אלה מכינים את הקרקע לבדיקות ותרגילים נוספים שייערכו ככל שהצוות יגדל הן בגודל, הן במורכבות והן בבגרות האופנסיבית.
לאחר הטמעת סריקת פגיעויות עקבית ויסודית, הגיע הזמן להתקדם לשלב הבא: בדיקות אבטחה (PT).
מבדקי חדירה: פריצה מוכוונת מטרה
הרצת מבדקי חדירה (Penetration Testing) הוא הזמן שבו מתחיל הכיף האמיתי והזמן שבו צוות האבטחה לוקח צעד קדימה בדרכו לבגרות אופנסיבית וגם את הארגון. מבדקי חדירה מוגדרים כשיטת בדיקה שבה בודקים מתמקדים ברכיבים בינאריים בודדים או ביישומים בכללותם כדי לקבוע אם ניתן לנצל פגיעויות פנים או אחרות כדי לפגוע ביישום, בנתונים או בנכסים. במילים פשוטות, מדובר בבדיקות בודדות המופעלות כדי לחדור לנכס ולמצוא פגיעויות מעבר למה שמסוגל להיראות בסריקת פגיעות.
היתרונות העיקריים של מבדקי חדירה
חושפות מגוון רחב של פגיעויות – בדיקות אלה בהחלט חורגות מההיקף והמורכבות של סריקות פגיעויות מסורתיות, ומספקות בדיקות מורכבות – הן בפורמט ידני והן בפורמט אוטומטי.מבדקי חדירה מעניקות שדה ראייה רחב יותר. אחרי הכל, אנו צריכים לדעת מה קיים בשביל להגן עליו, ולכן ישנו צורך בידיעה שהם קיימים.
ממצאים בבדיקות חדירה מורכבות יותר – פערי אבטחה ופגיעויות במבדקי חדירה הן לעתים קרובות שילוב של פגיעויות קטנות אחרות הקשורות זו לזו כדי להשיג פגיעות גדולה ומסוכנת יותר – כמו השגת גישה DA לסביבת Active Directory באמצעות פרוטוקול RDP.
דוחות מבדקי חדירה מספקים ייעוץ ספציפי לתיקון – אחד השלבים האחרונים של תהליך הבדיקה הוא כתיבת דו"ח, לעיתים קרובות התוצר העיקרי של מבדק חדירה. דוחות אלה הם נכס יקר ערך המספק שלבי תיקון אמיתיים (Remediatoin או אף פוסט-מורטם ברמת הבדיקה) לשאר צוות האבטחה. זה גם מסייע לצוות לתעדף פעילויות חשובות וגם מספק תוכנית סדורה לתיקון פגיעויות בזמן.
טקטיקות נפוצות המשמשות בטכניקות חדירה כוללות פישינג, הזרקות SQL, הנדסה חברתית ועוד רבות אחרות. אז כן, מבדקי חדירה הן בהחלט קפיצה גדולה מסריקת פגיעות, ומספקות בדיקות מורכבות ונרחבות יותר.
החסרונות העיקריים של מבדקי חדירה
עם זאת, בדיקות חדירה אינן נטולות חסרונות, וניתן למנות בין היתר את החסרונות הבאים:
אינם מועילים במיוחד ללא כללי פתיחה באש – טקטיקות, טכניקות ונהלים המשמשים במבדקים הם לעתים קרובות עצומים ולכאורה בלתי מוגבלים באופיים. לפני הבדיקה הצוות שלך צריך לזהות כללי מעורבות (R&R) ברורים והצהרת כוונות ותהליכי עבודה כדי להבטיח שהבדיקות הן שימושיות במקום מזיקות.
עלול לגרום לנזק רב – בדיקות חדירה שנעשות בצורה לא נכונה עלולות לגרום לבעיות בגלל אופן הרצתם, ועלולות לגרום לנזק עקב הקרסת שרתים, לגרום לנזק של נתונים, להשאיר כלים מזיקים, או גרוע מכך, ממש כמו שקורה בתקיפה אמיתית. המשפט הנפוץ של עם כוח גדול מגיעה אחריות גדולה, כך גם במבדקי חדירה – וחשוב לזכור אנו לא בסרט של מארוול, אז הנכסים של הארגון הם קריטיים ומבדקים הם חשובים ורגישים.
החיבור לשטח – תוצאות עשויות להטעות אם אין קשר למציאות – קצת סודיות במבדקי החדירה עשויה להיות המפתח לתוצאות מציאותיות ואמיתיות. אם לצוות הבודק יש זמן להתכונן למבדק חדירה, התוצאות עשויות להצביע על כך המבדק יציב. שמור על הבדיקות מציאותיות כאשר כל הצדדים נמצאים באותו חלק בכדי להשיג תוצאות מקסימליות.
לאחר שארגון מפעיל סריקות פגיעויות ומבצע בדיקות חדירה על בסיס קבוע, סביר להניח שישנה בגרות מסוימת. למרות שזו התחלה טובה וחיונית עבור כל ארגון, עדיין יש דרך ארוכה לעבור כדי להגיע לביצועי שיא. השלב הבא במודל בשלות האבטחה ההתקפית הוא הצוות האדום.
הצוות האדום: משנה את חוקי המשחק
לאחר שנכנסים לתהליך ושגרה של מבדקי חדירה, הגיע הזמן לשפר את יכולות הבדיקה על ידי צוות אדום. צוותים אדומים מוגדרים כצוות המורכב ממומחי אבטחה התקפית שמנסים לתקוף את הגנות אבטחת הסייבר של הארגון. הצוות האדום מביא ניסיון מהשטח בשלל מערכות וטכנולוגיות, בהן גם איכויות שהן לא רק טכנולוגיות אלא גם יצירתיות ומבצעיות.
צוות אדום פועל באמצעות כלים ייחודיים ומתקדמים ומיומנותם הגבוהה מעניקה יתרון יחסי לארגון. הפעילות של צוות אדום מעניקה לארגון יתרון הן לפני התקיפה באמצעות אספקת רובד הגנה נוסף (עקב הפעילות השגרתית) והן בזמן האירוע – על ידי מענה אפקטיבי בזמן אמת. בדרך כלל ארגונים ימשיכו להחזיק צוותי בדיקה, והם ייצרו קבוצה ממוקדת מאוד של בודקי אבטחה התקפיים כדי להיות הצוות האדום שלהם, ככל שהמורכבות של סביבת הארגון גדלה.
הקבוצות האדומות הללו מאוזנות לעתים קרובות על ידי קבוצה כחולה או סגולה שהן חשובות לא פחות. תחשבו על הקבוצות האלה כעל ההתקפה (הקבוצה האדומה) וההגנה (הקבוצה הכחולה) בפוטבול האמריקאי. שניהם משרתים מטרה חיונית עבור הקבוצה כולה, אבל לכל אחד מהם יש תפקיד מיוחד לשחק במאבק נגד התוקפים.
היתרונות העיקריים של צוות אדום
היתרונות העיקריים של צוות אדום ייעודי כוללים בין היתר
מספקים מטרות ממוקדות יותר – ככל שתמשיך להתבגר, הקבוצה ההתקפית תתמלא באנשים מיוחדים עם כישרונות ייחודיים. הגיוון והמותרות האלה מאפשרות להציף בעיות ופערי אבטחה באופן שונה.
צוות אדום מוצא נקודות מעניינות יותר מאשר PT – צוות בוגר יותר עם יותר משאבים ימצא יותר בעיות אבטחה פערים בחומות הארגון – זה לא מדע טילים אבל עדיין דורש ידע, ניסיון, כישרון ויצירתיות.
איזון צוות אדום עם צוות כחול יבטיח תהליכי שיפור – הצוות האדום מספק ממצאים רבים כדי לחשוף איומים כמו של תוקף אמיתי, ולכן ניתן להגיב אליהם מהר יותר מאי פעם. אם לצוות האדום והכחול יש תהליך יעיל ומערכת יחסים מבוססת של שיתוף פעולה רציף, לעיתים כולל צוות סגול, הקרקע בשלה להצלחה.
החסרונות של צוות אדום
השקעה בצוות אדום היא משימה קשה – למי שמניח שרק שכירת צוות אדום תגרום לכם להתבגר בצד האופנסיבי, אז ישנה טעות קשה. פיתוח צוות אדום יעיל ואפקטיבי זמן רב, בנוסף להשקעות גדולות במערך הטכנולוגיה ובתהליכי העבודה.
קרב חתולים בין האדומים לכחולים – במצבים מוסיימים עלולה להיות יריבות מסויימת בין הצד התוקף לצד המגן – מצב לא בריא, ולכן עלול לגרום לבעיות גדולות. קצת תחרות בריאה אף פעם לא מזיקה לאף אחד, אבל כשחברי הצוות עובדים קשה יותר כדי להערים על חברי הצוות שלהם מאשר כדי להערים על תוקף ישנה בעיה.
צוותים גדולים אינם זריזים כמו צוותים קטנים – אמנם זה קשור ישירות לנקודה הראשונה, אבל כדאי לציין שקבוצה התקפית גדולה יותר עלולה לגרום לבעיות עקב תהליכי אבטחה וחוסר סנכרון. צוותים הפועלים יחד כדי לתקוף ולהגן על הארגון צריכים לתקשר היטב, לדבר באותה שפה וכן לדווח ולתקן ממצאים באופן עקבי כדי למנוע שגיאות יקרות.
אם צוותים אדומים מסתובבים בצורה לא נכונה או נכנסים להרגלים רעים, יכולות להיות לכך השלכות קשות במודל בגרות!!!
בעוד שקבוצה אדומה היא יקרב ועתירה משאבים, זו השקעה ראויה עבור ארגונים שמנסים ליישר את קווי ההגנה אל מול תוקף אמיתי. השלב הבא של מודל בשלות האבטחה ההתקפית מכניס את הצוות לנעלי התוקף. בואו נדבר על חיקוי תוקף.
אמולציות יריב: להיכנס לנעלי התוקף
חיקוי היריב מוגדר כתהליך של שימוש, פיתוח והעתקת טקטיקות, טכניקות ונהלים של קבוצות תקיפה (TTPs) בכדי לבדוק ולבחון את הגנות הארגון מפני התקפות של העולם האמיתי. TTPs אלה נמשכים בדרך כלל מתוך פלייבוקים של תקיפה.
היתרונות העיקריים לביצוע תרגילי חיקוי יריב כוללים
שימוש בחיקוי תוקף כדי להעריך את מצב האבטחה כנגד תוקפים אמיתיים – TTPs אלה נוצרים ומבוצעים על ידי התוקפים הידועים בשטח והמסוכנים ביותר. המטרה היא להבין כיצד ההגנות מתפקדות נגד התקפות אלה הוא בעל ערך רב לצוותים המעוניינים להבטיח שכל הבסיסים שלהם מכוסים.
הדמיית תוקף היא מבחן פנטסטי לשיעור הזיהוי והתגובה של הצוות הכחול – המהירות והדיוק של העבודה שצוות כחול מבצע כדי לזהות ולתקן פגיעות – או גרוע מכך, פירצה – הם היבט חיוני בבגרות הצוות. הזמן הממוצע של הארגון למדדי זיהוי תגובה, כמו, זיהוי (MTTD) והזמן הממוצע לתיקון (MTTR) יעמדו למבחן אמיתי עם תרגילי הדמיית תקיפה.
לאחר שהצוות פיתח צוות אדום בעל ביצועים גבוהים והחל בתרגילי חיקוי של תוקפים, אין בהכרח חסרונות לתרגילים. הדבר העיקרי שיש לזכור עם צוות גדול בעל חלקים נעים רבים הוא תעדוף. משמעות הדבר היא שלצד כל הפעילויות למקור וצבירת ממצאי אבטחה ונתונים, עלינו לתת ניקוד ולתעדף את הממצאים והעבודה בהתבסס על ההשפעה שיש לה על הארגון, על הצוות ועל המשימות היומיומיות.
סימולציות תקיפה: הורדת כפפות
בעוד שלעתים קרובות יש מחלוקת על שמות בתעשייה על שני השלבים האחרונים האלה, יש סימולציה של תוקף כשלב הבוגר ביותר במודל הבשלות של האבטחה ההתקפית. סימולציית תקיפה מוגדרת כתהליך של שימוש בכל הטכניקות בארגז הכלים ההתקפי – כולל סריקות פגיעויות, בדיקות חדירה, צוות אדום וחיקוי תוקף – כדי לסכן ולשבור את ההגנות בארגון.
זהו ממש הצעד שניתן לתארו בקלות לקוראים שלנו "כהורדת כפפות" או "בכל האמצעים הדרושים". תרגילי סימולציה של תוקף נועדו לדמות את המראה והתחושה של מתקפת סייבר מהעולם האמיתי, שכן התוקפים שתפגשו בעולם האמיתי ישתמשו בכל מה שעומד לרשותם כדי לשבור את ההגנות שלכם, לקחת ההרשאות כדי למצוא את מה שהם מחפשים, ולצאת עם הנכסים הרגישים לפני שתוכלו לעצור את האיום.
היתרון העיקרי בביצוע תרגילי סימולציה של תוקפים בנוסף לכל ארבעת השלבים האחרים שהוזכרו קודם לכן הוא שסימולציית תוקף מספקת לצוות ההתקפי את התרגיל המציאותי ביותר של פריצה בעולם האמיתי. כאשר פגיעות משמשת באופן בלתי נמנע כפירצה ברשת, עליך להכין את הצוותים. ביצוע סימולציות תקיפה מכין את הצוות לדבר האמיתי ומבטיח שיש תהליך לאבטחה והגנה בזמן אמת ולמיתון הנזק של התקיפה.
חשיבה עם הקבוצה הסגולה
סריקות פגיעויות, בדיקות חדירה, צוות אדום, הדמיית תוקפים וסימולציית תקיפה מספקים כולם יתרונות מרכזיים לצוות האבטחה וליציבות אבטחה נדרשת. יחד עם זאת, לעתים קרובות קשה לדעת מתי הגיע הזמן להתקדם לאורך מודל הבשלות ולהעלות את הרמה לפעילות הבאה. עם זאת, יחד עם הבשלות של צוות סגול, הצוות יבין טוב יותר את החוזקות, החולשות, המשאבים והמחסומים.
שיתוף פעולה מתמשך ושקוף – בין אם עם הצוות הפנימי או עם בעלי עניין חיצוניים – יעזור להנחות אותך בדרכך לעבר מקומות טובים יותר של אבטחה ארגונית. זה גם מבטיח שהצוות יגיע לביצועי שיא בין אם אתה צוות אבטחה קטן או צוות האבטחה שהוא מהגדולים ביותר.
לסיכום, במודל בגרות ישנם שלבים שונים שצריך לעבור כאשר חלקם עלולים לקחת זמן מסוים, וחשוב להדגיש כי לעיתים מסויימות המודל יכול להכיל בתוכו שני שלבים. ביצוע ושילוב מספר שלבים אינו אומר שהתהליך אינו נכון, אלא שהוא מותאם בצורה מסויימת לסביבה הארגונית. כאמור, מודל בגרות אופנסיבי ויצירת צוותי תקיפה אינו תהליך של חודשים בודדים, אלא תהליך של חודשים ארוכים ואף שנים בחברות גדולות במיוחד.
<
p dir="rtl">מאמרים נוספים בנושאי סייבר
1 Response
[…] החלק הזה של שילוב הצוות האדום הוא חשוב והוא חלק מתוך בגרות במודל האופנסיבי ויכול להיעשות ע"י שילוב של כלי בדיקה אוטומטיים + […]