В противодействии целевым атакам (APT) решающую роль играют готовность службы безопасности к реагированию на возникающие инциденты, а также настройки средств мониторинга событий ИБ и anti-APT решений. К сожалению, протестировать эффективность настройки средств защиты информации и готовность ИБ-подразделений можно только во время реальной атаки, или во время ее полномасштабной имитации в рамках услуг по проведению тестирования на проникновение в режиме Red Team (Red Team Assessment). Тестирование на проникновение в режиме Red Team – процесс выявления недостатков в корпоративной информационной системе заказчика в обход существующих средств защиты информации с имитацией работы реального злоумышленника, ориентированный на проверку реакции службы ИБ компании.

Основные отличия Red Team Assessment от «стандартного» теста на проникновение:

  • Тестирование на проникновение в режиме Red Team обычно проводят скрытно от персонала заказчика, в том числе от службы ИБ (о его проведении обычно знает только контактное лицо со стороны заказчика), а исполнителю дается достаточное количество времени, чтобы спланировать и провести атаку так, как она прошла бы в реальной жизни.
  • Изначально у исполнителя отсутствуют какие-либо ограничения на область проведения работ и состав применяемых методов атак (могут применяться в том числе атаки «нулевого дня»).
  • Атаки могут проводиться в любое время дня и ночи (уведомляется только контактное лицо заказчика).
  • В зависимости от выбранных моделей потенциальных нарушителей исполнителю предоставляется определенная исходная информация (учетные данные, доступы и пр.).
  • Атаки проводятся с минимальной интенсивностью взаимодействия с атакуемыми системами с целью сокрытия действий от средств защиты и обнаружения со стороны службы ИБ.

Зачем компаниям нужен тест на проникновение в режиме Red Team:

  • Проверка работы службы информационной безопасности в реальных условиях.
  • Новые, сложные и нестандартные атаки (многоступенчатые атаки).
  • Симуляция целенаправленных атак злоумышленника.
  • Покрытие большего количества векторов, чем при проведении «стандартного» теста на проникновение.
  • Большая длительность, дает больше времени на подготовку и планирование атак.
  • Выявить потенциальные вектора проникновения злоумышленника.
  • Протестировать настройки технических средств выявления и предотвращения хакерских атак.
  • Увидеть, как исполняются регламенты по реагированию на инциденты ИБ и насколько тщательно и ответственно подходят сотрудники ИБ-подразделений к выявлению подозрительной активности.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!