Дашборды зеленые, оповещения настроены, потоки threat intelligence подключены. Всё выглядит надёжно. Центр мониторинга (SOC) работает, правила детектирования активны, процессы реагирования на инциденты (IR) задокументированы. И у руководства складывается ощущение полного контроля над ситуацией. Но вот простой вопрос: а если завтра кто-то действительно попытается вас взломать, эти инструменты его остановят?
Именно этот разрыв между видимостью безопасности и её реальным состоянием стал центральной темой вебинара «Exposure-Driven Resilience: Automate Testing to Validate & Improve Your Security Posture», который проводят Жермен Нжеманзе и Себастьен Мигель. Спикеры разбирают проблему, с которой сталкивается, пожалуй, большинство команд кибербезопасности: допущения подменяют доказательства.
Логика ловушки примерно такая. Есть средство защиты — значит, оно работает. Есть правило детектирования — значит, оно сработает. Есть подписка на threat intelligence — значит, мы знаем об угрозах. На практике мало кто регулярно проверяет, как именно выстроенная оборона справляется с пошаговой имитацией реального вторжения. Не с теоретическим сценарием, а с последовательностью действий, которую предпринял бы живой атакующий.
Нжеманзе и Мигель формулируют подход коротко: «Хватит гадать — начните доказывать». Разовые пентесты раз в квартал или раз в год, как бы качественно они ни проводились, дают срез на конкретный момент. Конфигурации меняются, сотрудники обновляют правила, инфраструктура разрастается. То, что было проверено в марте, к июню может оказаться неактуальным.
Вместо этого предлагается непрерывная валидация. Суть в том, чтобы тестировать защиту постоянно и не абстрактно, а с использованием реальных техник и тактик атакующих. Не синтетические нагрузки, а поведение, которое фиксируется у настоящих группировок.
Отдельный акцент в программе вебинара — на том, как использовать данные из threat intelligence не просто для обогащения алертов, а для определения, что именно нужно тестировать. Если, допустим, в вашей отрасли активна определённая группировка с конкретным набором техник, логично проверить, детектирует ли ваш SOC именно эти техники. Не вообще все подряд, а прицельно.
Ещё один пункт, который поднимают спикеры: встраивание тестирования в повседневные рабочие процессы SOC и команд реагирования на инциденты. Тут важный нюанс. Многие избегают регулярного тестирования не потому, что не понимают его ценности, а потому, что это кажется дополнительной нагрузкой сверх и без того перегруженных процессов. Нжеманзе и Мигель обещают показать, как это делать без лишнего усложнения.
Кроме концептуальной части, в вебинаре предусмотрена живая демонстрация. Спикеры показывают на практике, как выглядит процесс: от определения приоритетов тестирования на основе разведданных до проверки конкретных контролей и анализа результатов. Не слайды с диаграммами, а работающий фреймворк.
Стоит признать, что идея «проверяй, а не верь на слово» сама по себе не нова. Но разрыв между пониманием и действием в этой области по-прежнему огромен. Команды продолжают жить в мире, где наличие инструмента приравнивается к его эффективности. Зелёный дашборд успокаивает. А проверять страшно — вдруг окажется, что половина правил не срабатывает.
Если вы хотите получить не сигналы о том, что защита существует, а конкретные доказательства того, что она работает, формат этого вебинара может быть полезен. Жермен Нжеманзе и Себастьен Мигель разбирают тему без общих слов, с практическим показом, и это, пожалуй, его главное преимущество перед очередным набором рекомендаций в PDF.
Изображение носит иллюстративный характер
Именно этот разрыв между видимостью безопасности и её реальным состоянием стал центральной темой вебинара «Exposure-Driven Resilience: Automate Testing to Validate & Improve Your Security Posture», который проводят Жермен Нжеманзе и Себастьен Мигель. Спикеры разбирают проблему, с которой сталкивается, пожалуй, большинство команд кибербезопасности: допущения подменяют доказательства.
Логика ловушки примерно такая. Есть средство защиты — значит, оно работает. Есть правило детектирования — значит, оно сработает. Есть подписка на threat intelligence — значит, мы знаем об угрозах. На практике мало кто регулярно проверяет, как именно выстроенная оборона справляется с пошаговой имитацией реального вторжения. Не с теоретическим сценарием, а с последовательностью действий, которую предпринял бы живой атакующий.
Нжеманзе и Мигель формулируют подход коротко: «Хватит гадать — начните доказывать». Разовые пентесты раз в квартал или раз в год, как бы качественно они ни проводились, дают срез на конкретный момент. Конфигурации меняются, сотрудники обновляют правила, инфраструктура разрастается. То, что было проверено в марте, к июню может оказаться неактуальным.
Вместо этого предлагается непрерывная валидация. Суть в том, чтобы тестировать защиту постоянно и не абстрактно, а с использованием реальных техник и тактик атакующих. Не синтетические нагрузки, а поведение, которое фиксируется у настоящих группировок.
Отдельный акцент в программе вебинара — на том, как использовать данные из threat intelligence не просто для обогащения алертов, а для определения, что именно нужно тестировать. Если, допустим, в вашей отрасли активна определённая группировка с конкретным набором техник, логично проверить, детектирует ли ваш SOC именно эти техники. Не вообще все подряд, а прицельно.
Ещё один пункт, который поднимают спикеры: встраивание тестирования в повседневные рабочие процессы SOC и команд реагирования на инциденты. Тут важный нюанс. Многие избегают регулярного тестирования не потому, что не понимают его ценности, а потому, что это кажется дополнительной нагрузкой сверх и без того перегруженных процессов. Нжеманзе и Мигель обещают показать, как это делать без лишнего усложнения.
Кроме концептуальной части, в вебинаре предусмотрена живая демонстрация. Спикеры показывают на практике, как выглядит процесс: от определения приоритетов тестирования на основе разведданных до проверки конкретных контролей и анализа результатов. Не слайды с диаграммами, а работающий фреймворк.
Стоит признать, что идея «проверяй, а не верь на слово» сама по себе не нова. Но разрыв между пониманием и действием в этой области по-прежнему огромен. Команды продолжают жить в мире, где наличие инструмента приравнивается к его эффективности. Зелёный дашборд успокаивает. А проверять страшно — вдруг окажется, что половина правил не срабатывает.
Если вы хотите получить не сигналы о том, что защита существует, а конкретные доказательства того, что она работает, формат этого вебинара может быть полезен. Жермен Нжеманзе и Себастьен Мигель разбирают тему без общих слов, с практическим показом, и это, пожалуй, его главное преимущество перед очередным набором рекомендаций в PDF.
