Offensive security
Đối với phần lớn đội ngũ bảo mật hiện nay, áp lực hằng ngày không nằm ở việc trực tiếp chặn attacker, mà ở việc phải xử lý một khối lượng khổng lồ alert, điểm số CVE và những tín hiệu rời rạc trong khi vẫn phải trả lời một câu hỏi rất cơ bản: điều gì thực sự quan trọng ngay lúc này?
HALOCK, một công ty tư vấn an ninh mạng có trụ sở tại Illinois, đã xây dựng uy tín của mình dựa trên cách tiếp cận offensive security mang tính thực chiến. Phương pháp của họ từ trước đến nay luôn xoay quanh khai thác thật, rủi ro thật và khuyến nghị remediation rõ ràng. Nhưng khi môi trường của khách hàng ngày càng mở rộng trên cloud platform, shadow IT, các dịch vụ vận hành bằng AI và cả những tài sản phát sinh từ sáp nhập và mua lại, việc duy trì visibility giữa các đợt đánh giá trở nên khó khăn hơn rất nhiều.
Một cuộc penetration test có thể mang lại insight rất sâu, nhưng chỉ tại một thời điểm cụ thể. Vấn đề là attack surface gần như thay đổi ngay sau đó. HALOCK cần một cách để giữ cho insight đó tiếp tục sống và có giá trị giữa các lần assessment offensive security.
Từ rủi ro lý thuyết đến exposure đã được xác thực
Khi HALOCK bắt đầu đánh giá các nền tảng external attack surface management, họ không tìm kiếm thêm một nguồn findings mới. Điều họ thực sự cần là một cách để biết vấn đề nào thật sự có thể bị khai thác.
Phần lớn công cụ trên thị trường xác định rủi ro tiềm ẩn dựa trên phiên bản phần mềm hoặc tương quan với CVE. Nhưng cách tiếp cận đó vẫn khiến consultant phải trải qua một giai đoạn xác minh khá dài trước khi có thể bắt đầu testing một cách thực sự có ý nghĩa.
ULTRA RED tiếp cận bài toán theo hướng khác. Mỗi exposure đều được xác thực dựa trên điều kiện tấn công thực tế, kèm theo bằng chứng request và response để chứng minh exploitability trước khi được chuyển tới human analyst.
Điều này đã thay đổi cách đội ngũ HALOCK sử dụng thời gian của mình. Thay vì phải đi qua khối lượng lớn kết quả chưa được xác minh, họ có thể đi thẳng vào advanced testing và remediation có mục tiêu rõ ràng offensive security.
Exposure đã mở sẵn từ trước
Ngay trong giai đoạn đầu của engagement, ULTRA RED đã phát hiện một subdomain nội bộ mà các công cụ khác không nhận ra. Subdomain này đang có thể truy cập từ bên ngoài và có thể bị khai thác.
Đây không phải là một kịch bản giả định, cũng không phải một finding mang điểm rủi ro cao nhưng vẫn phải chờ xác nhận thủ công. Nó là một điểm xâm nhập đang hoạt động thực sự.
HALOCK đã phân tích attack path, xác định business impact và phối hợp với khách hàng để remediation vấn đề chỉ trong vài giờ kể từ khi phát hiện. Nếu không có continuous monitoring giữa các lần kiểm thử, exposure này hoàn toàn có thể tồn tại vô thời hạn.
Điều gì đã thay đổi với khách hàng
Các tổ chức làm việc với HALOCK thông qua ULTRA RED đã ghi nhận những thay đổi rõ ràng và có thể đo lường được.
Khối lượng alert giảm từ 75 đến 90 phần trăm. Tốc độ remediation nhanh hơn từ hai đến ba lần. False positive giảm xuống dưới 1 phần trăm.
Đây không chỉ là một cải thiện về vận hành. Nó còn cho phép cả consultant lẫn đội ngũ bảo mật tập trung vào những công việc thực sự đòi hỏi chuyên môn, thay vì tiêu tốn thời gian chỉ để xác minh xem một finding có thật hay không.
Quyết định lúc này được đưa ra dựa trên bằng chứng, thay vì dựa trên xác suất offensive security.
Củng cố EASM bằng dữ liệu đã được chứng minh
Mục tiêu của HALOCK chưa bao giờ là thay thế penetration testing. Ngược lại, continuous discovery giúp nâng cao chất lượng của mỗi engagement.
Những exposure đã được xác thực giúp xác định phạm vi trước khi testing bắt đầu. Consultant có thể khởi động từ các attack path đã được chứng minh thay vì từ các giả định. Việc xây dựng báo cáo cũng trở nên dễ dàng hơn khi cần chuyển tải vấn đề thành business impact cho lãnh đạo hoặc auditor.
Hiện nay, HALOCK đã đưa ULTRA RED vào các dịch vụ external attack surface management (EASM) của mình trong nhiều mô hình engagement khác nhau, từ các đợt assessment tại một thời điểm cụ thể cho đến continuous monitoring giữa các lần kiểm thử.
Trong bối cảnh môi trường của khách hàng ngày càng tiếp tục mở rộng, mục tiêu của HALOCK vẫn không thay đổi: tạo ra các security outcome được hậu thuẫn bằng bằng chứng và đủ sức đứng vững trước mọi yêu cầu kiểm chứng.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:
Email: info@unitas.vn
Hotline: (+84) 939 586 168.
