Khi cộng đồng tìm thấy những lỗ hổng mà kiểm toán bỏ sót: Tìm hiểu sâu về phát hiện lỗ hổng hiện đại
Các cuộc kiểm toán bảo mật truyền thống ngày càng không theo kịp với bề mặt tấn công ngày càng mở rộng. Các sự cố gần đây làm nổi bật một lỗ hổng quan trọng được lấp đầy bởi các cuộc thi bảo mật cộng đồng, vốn liên tục phát hiện ra các lỗ hổng bị bỏ qua bởi các phương pháp thông thường.

Bối cảnh an ninh mạng luôn biến động, đặc trưng bởi bề mặt tấn công ngày càng mở rộng do chu trình phát triển nhanh chóng, CNTT bóng tối, hoạt động M&A và đổi mới tăng tốc bằng AI. Đối với các CISO và kỹ sư bảo mật, việc duy trì một cái nhìn toàn diện và được xác thực về rủi ro tổ chức đã trở thành một thách thức khó giải quyết. Một mô hình lặp đi lặp lại được quan sát trong các phân tích sự cố gần đây cho thấy một điểm mù đáng kể: các lỗ hổng tồn tại qua các cuộc kiểm toán truyền thống thường xuyên được phát hiện bởi các cuộc thi bảo mật cộng đồng.
Điều gì đã xảy ra
Trong nhiều lĩnh vực khác nhau, các tổ chức chỉ dựa vào kiểm thử xâm nhập thông thường và kiểm toán nội bộ đã tự thấy mình bị lộ. Các sự cố này thường liên quan đến các lỗ hổng nghiêm trọng nằm trong các hệ thống, ứng dụng hoặc mạng trước đây được coi là an toàn. Điểm chung là những lỗ hổng này sau đó đã được xác định và khai thác trong các cuộc thi bảo mật cộng đồng, cho thấy sự mất kết nối giữa tư thế bảo mật được nhận thức và tư thế bảo mật thực tế. Mô hình này nhấn mạnh những hạn chế của việc tuân thủ tại một thời điểm và sự cần thiết của việc xác thực tấn công liên tục, do con người dẫn dắt.
Bảo mật cộng đồng, bao gồm các chương trình tiền thưởng lỗi và kiểm thử xâm nhập cộng đồng, không còn là một khái niệm mang tính thử nghiệm. Nhiều tổ chức hiện tích hợp các chương trình này như một thành phần cốt lõi trong chiến lược bảo mật của họ. Cách tiếp cận này phản ánh sự công nhận ngày càng tăng của ngành về hiệu quả của việc tận dụng một nhóm tin tặc đạo đức toàn cầu.
Tại sao mô hình này cứ lặp lại
Lý do chính khiến mô hình này tồn tại nằm ở những hạn chế cố hữu của các đánh giá bảo mật truyền thống. Các phương pháp này thường chỉ cung cấp một ảnh chụp nhanh tại một thời điểm, nhanh chóng trở nên lỗi thời khi bề mặt tấn công phát triển. Hơn nữa, các nhóm nội bộ và một số lượng hạn chế các kiểm toán viên bên ngoài, dù có kỹ năng đến đâu, cũng có năng lực và góc nhìn hữu hạn. Họ thường bị hạn chế bởi phạm vi, thời gian và ngân sách, khiến việc bao quát toàn bộ bề mặt tấn công thay đổi liên tục một cách hiệu quả trở nên khó khăn.
Các tài sản mới từ sự mở rộng, CNTT bóng tối và chu trình phát triển nhanh chóng xuất hiện liên tục, mở rộng bề mặt tấn công nhanh hơn khả năng theo dõi của các nhóm bảo mật. Các công cụ bảo mật hiện có thường hoạt động trong các silo—phát hiện ở đây, quét ở đó, kiểm thử tấn công ở nơi khác. Sự phân mảnh này ngăn cản một cái nhìn thống nhất, có thể hành động về những gì một tổ chức thực sự sở hữu và những rủi ro mà nó phải đối mặt. Nếu không có sự xác thực liên tục từ các cuộc kiểm thử tấn công đa dạng, do con người dẫn dắt, thì chỉ nhìn thấy thôi là không đủ để giảm thiểu rủi ro.
Các cuộc kiểm toán truyền thống, mặc dù cần thiết để tuân thủ, thường thiếu tính rộng rãi, chiều sâu và tính liên tục cần thiết để xác định các lỗ hổng phức tạp trong một bối cảnh mối đe dọa đang phát triển nhanh chóng.
Kịch bản của kẻ tấn công từng bước
Kịch bản điển hình của kẻ tấn công, trong các kịch bản mà bảo mật cộng đồng sau đó tìm thấy lỗ hổng, thường bắt đầu bằng việc trinh sát. Điều này liên quan đến việc lập bản đồ bề mặt tấn công bên ngoài của mục tiêu, xác định các tài sản công khai và hiểu ngăn xếp công nghệ của họ. Kẻ tấn công tận dụng các công cụ tự động nhưng quan trọng là kết hợp chúng với phân tích thủ công để phát hiện các cấu hình sai tinh vi hoặc lỗi logic mà các máy quét tự động bỏ sót. Sau đó, họ chuyển sang xác định các điểm vào tiềm năng, thường tập trung vào các ứng dụng web, API và dịch vụ mạng.
Khi các lỗ hổng tiềm năng được xác định, kẻ tấn công tạo ra các khai thác cụ thể. Giai đoạn này đòi hỏi sự sáng tạo và hiểu biết sâu sắc về các kỹ thuật khai thác, thường vượt ra ngoài các CVE phổ biến để tìm các lỗ hổng zero-day hoặc N-day chưa được biết đến rộng rãi hoặc vá lỗi. Bước cuối cùng liên quan đến việc khai thác, giành quyền truy cập trái phép và chứng minh tác động, có thể từ rò rỉ dữ liệu đến xâm nhập toàn bộ hệ thống. Cách tiếp cận có phương pháp, thường xuyên, này trái ngược hoàn toàn với phạm vi và thời lượng hạn chế của nhiều đánh giá bảo mật truyền thống.
Những gì các nhà phòng thủ đã bỏ lỡ
Trong những trường hợp này, các nhà phòng thủ chủ yếu đã bỏ lỡ góc nhìn tấn công liên tục, toàn diện và đa dạng mà bảo mật cộng đồng mang lại. Họ thường dựa vào kiểm toán nội bộ hoặc kiểm thử xâm nhập truyền thống, mặc dù có giá trị, nhưng vốn dĩ bị hạn chế về phạm vi và thời lượng. Các cách tiếp cận thông thường này thường không tính đến bản chất động của bề mặt tấn công, nơi các tài sản và cấu hình mới giới thiệu các lỗ hổng mới hàng ngày.
Hơn nữa, bản chất silo của nhiều công cụ bảo mật có nghĩa là các nhóm bảo mật dành thời gian quý báu để đối chiếu thủ công các kho hàng và cố gắng ưu tiên rủi ro mà không có một cái nhìn đáng tin cậy duy nhất. Điều này dẫn đến một tư thế phản ứng, nơi các lỗ hổng nghiêm trọng chỉ được phát hiện sau một sự cố, hoặc theo mô hình này, bởi một nỗ lực bảo mật tấn công bên ngoài, kỹ lưỡng hơn. Việc thiếu sự đảm bảo liên tục, được thay thế bằng việc tuân thủ tại một thời điểm, để lại những lỗ hổng đáng kể.
Danh sách kiểm tra phòng thủ thực tế
Để giảm thiểu rủi ro các lỗ hổng bị bỏ sót bởi các cuộc kiểm toán truyền thống, các CISO và kỹ sư bảo mật nên xem xét các hành động sau:
- Triển khai Quản lý Bề mặt Tấn công Liên tục: Thường xuyên khám phá và lập bản đồ tất cả các tài sản hướng ra bên ngoài, bao gồm cả CNTT bóng tối.
- Tích hợp Kiểm thử Xâm nhập Cộng đồng: Bổ sung các kiểm thử bút truyền thống bằng các chương trình cộng đồng đang diễn ra để tận dụng một nhóm tin tặc đạo đức toàn cầu.
- Thiết lập Chương trình Tiền thưởng Lỗi: Khuyến khích các nhà nghiên cứu độc lập tìm và báo cáo lỗ hổng trước khi các tác nhân độc hại thực hiện.
- Ưu tiên Thông tin Tình báo Có Thể Hành Động: Tập trung vào việc xác thực những gì thực sự có thể khai thác thay vì chỉ xác định các lỗ hổng tiềm năng.
- Phá vỡ các Silo Công cụ: Phấn đấu cho một nền tảng thống nhất tích hợp kết quả khám phá, quét và kiểm thử tấn công để có cái nhìn rủi ro toàn diện.
- Áp dụng Chiến lược Giảm thiểu Rủi ro Chủ động: Vượt ra ngoài phản ứng thụ động sang xác thực bảo mật tấn công liên tục, do con người dẫn dắt.
- Thường xuyên Xem xét và Cập nhật Chính sách Bảo mật: Đảm bảo các chính sách phản ánh bản chất động của bối cảnh mối đe dọa và kết hợp các phương pháp kiểm thử tấn công hiện đại.
Kiểm thử tấn công hiện đại sẽ phát hiện ra điều này như thế nào
Kiểm thử tấn công hiện đại, đặc biệt thông qua các mô hình cộng đồng, được thiết kế để giải quyết những thiếu sót của các cuộc kiểm toán truyền thống. Không giống như các phương pháp thông thường, kiểm thử xâm nhập cộng đồng tận dụng một nhóm đa dạng các tin tặc đạo đức và chuyên gia bảo mật trên toàn cầu. Sự đa dạng này mang lại một phạm vi kỹ năng, góc nhìn và chuyên môn rộng hơn để áp dụng vào các hệ thống, ứng dụng và mạng của một tổ chức.
Các nền tảng cung cấp kiểm thử tấn công tự động với Bằng chứng Khái niệm (PoC) có thể thực thi đại diện cho sự phát triển tiếp theo. Ví dụ, một nền tảng kết hợp giám sát bề mặt tấn công liên tục với khả năng kiểm thử tấn công do con người dẫn dắt. Cách tiếp cận này cho phép các nhóm bảo mật liên tục giám sát bề mặt tấn công bên ngoài của họ, quét các lỗ hổng tiềm năng và, quan trọng là, xác thực những gì thực sự có thể khai thác bằng kiểm thử tấn công do con người dẫn dắt. Điều này cung cấp sự đảm bảo liên tục, vượt ra ngoài việc chỉ nhìn thấy để có thông tin tình báo có thể hành động, cho phép các tổ chức ưu tiên rủi ro dựa trên những gì thực sự quan trọng và phát hiện các lỗ hổng mà kiểm toán có thể bỏ sót.
Những gì cần theo dõi tiếp theo
Xu hướng hướng tới bảo mật cộng đồng đang tăng tốc. Thị trường kiểm thử xâm nhập cộng đồng dự kiến sẽ tăng trưởng đáng kể. Các tổ chức ngày càng nhận ra rằng bảo mật cộng đồng đã được chứng minh, không phải thử nghiệm, và đang tích hợp các chương trình tiền thưởng lỗi như một lớp cốt lõi trong chiến lược bảo mật của họ. Trọng tâm sẽ chuyển dịch hơn nữa sang việc tích hợp thông tin tình báo bề mặt tấn công liên tục với kiểm thử tấn công do con người dẫn dắt. Các giải pháp trao quyền cho các nhóm bảo mật liên tục giám sát, quét và xác thực các rủi ro có thể khai thác đang trở nên ngày càng quan trọng. Tương lai của bảo mật tấn công sẽ liên quan đến sự kết hợp giữa tự động hóa để mở rộng quy mô và sự khéo léo của con người để có chiều sâu, đảm bảo rằng các tổ chức có thể đi trước một bối cảnh mối đe dọa luôn phát triển và chủ động giảm thiểu rủi ro.
Letture correlate

Khi cạnh tranh phơi bày thảm họa: Hướng dẫn của CISO về các lỗ hổng của nhà cung cấp từ các cuộc thi hacker
Các cuộc thi hacker và các sự kiện tương tự ngày càng làm lộ ra các lỗ hổng nghiêm trọng trong phần mềm và cơ sở hạ tầng doanh nghiệp được triển khai rộng rãi. Bài phân tích chuyên sâu này xem xét mô hình lặp đi lặp lại, ý nghĩa của nó đối với CISO và các chiến lược phòng thủ chủ động.

Khi các nhóm Red Team cộng đồng phơi bày các lỗ hổng RCE SaaS nghiêm trọng
Một sự cố gần đây, trong đó một nhóm red team cộng đồng đã phát hiện ra một lỗ hổng RCE nghiêm trọng trong một nền tảng SaaS hàng đầu, hai năm sau các cuộc kiểm toán nội bộ, cho thấy một lỗ hổng dai dẳng trong bảo mật doanh nghiệp. Đây không phải là một sự kiện cá biệt; đó là một mô hình lặp đi lặp lại đòi hỏi phải đánh giá lại các chiến lược phòng thủ và phương pháp thử nghiệm tấn công của chúng ta.
