Hen over de seneste par år har vi set en stærkt stigende interesse fra organisationer, der ønsker et mere virkelighedstro testscenarie, baseret på at de er blevet kompromitteret. Den klassiske tilgang med at teste en applikation eller et netværk i et begrænset scope giver et fint billede at de enkelte komponenter i infrastrukturen, og de vil i mange sammenhænge være godt sikret efter utallige test igennem årene, men hvad nu når det er helt andre veje, der bliver benyttet, eksempelvis når en medarbejders pc er blevet kompromitteret, hvilket meget ofte er det, der sker, og derfor ofte er startpunktet for det videre angrebsforløb?
Undlader man at teste i dybden, er det ikke muligt at simulere og evaluere den mest realistiske angrebsvinkel, en hacker vil benytte. Dette er grunden til, at realistiske test sammen med en “Assume Breach”-metode tilfører kæmpe værdi i forhold til bedre at kunne forberede sig på det, alle betragter som det uundgåelige.
Realistisk test på linje med virksomhedens modenhed
Med den klassiske tilgang skelner man ikke mellem, hvilke typer af angriber, der er mest sandsynlige, men mere en ”one size fits all”-model. Og selvfølgelig skal den basale sikkerhed være på plads, og her kan ”one size fits many” sagtens være en fornuftig tilgang. Men hvis man ønsker at få det fulde udbytte af en offensiv Assume Breach-tilgang, skal man tage udgangspunkt i en trusselsvurdering, der er forbundet med tesen: Hvem kunne finde på at angribe, og hvilke motiver kan der være i spil? mv.
Desuden skal test og anbefalinger passe til organisationens modenhedsniveau. Anbefalingerne må ikke være for ambitiøse i forhold til modtagerorganisationen og skal forsøge at tilpasse sig sikkerhedsbudgettet. Mens modenheden trinvist stiger over tid, kan vi skubbe test- og anbefalingsniveauet yderligere for at simulere motiverede og ressourcestærke angribere.
Tilgangen “Assume Breach”
Hvis ønsket er et reelt billede af sikkerheden og forsvaret i dybden for hele informationssystemet og videre, er Assume Breach-simuleringen en tilgang til både applikation og infrastruktur. I stedet for at antage, at en hacker aldrig kommer ind i virksomheden eller kommer ind via de internetvendte applikationer, begynder den fra eksempelvis en kompromitteret PC og sigter mod at se, om man kan bevæge sig videre derfra til andre dele af netværket.
Kompromitterede applikationer
Selv om en kompromitteret applikation i sig selv er et alvorligt problem, kan det meget hurtigt føre til yderligere kompromittering. Eksempelvis når en server hoster flere applikationer eller ligger på samme netværkssegment.
Med udgangspunkt fra en kompromitteret applikationsserver åbner testscenariet op for en helt ny angrebsvinkel, såsom adgang til koden, konfigurationsfilerne og datakilderne. Denne fremgangsmåde er især relevant i forbindelse med delte applikationsservere og databaser sammen med cloudmiljøer.
Modellen Assume Breach er i konstant forandring og ændrer sig meget mellem virksomheder, men også over tid, da den konstant tager udgangspunkt i de seneste angrebstendenser og trusselslandskabet.
Hvor de klassiske test ofte har en revisionsmæssig karakter og tit bliver gennemført som black-box-test, er Assume Breach-tilgangen i langt højere grad et samarbejde med de tekniske teams for at komme med så skarpe anbefalinger som muligt og derved skabe bedst mulig værdi.