Новостная статья

10 факторов для успешной оценки Red Teaming Assessments

14/05/2020 | Поставщики услуг и население

  1. Управленческое обязательство
    За проектом должны следить все соответствующие лица, принимающие решения (например, генеральный директор, CIO, CISO, DSB, рабочий совет), но никакие другие сотрудники не должны быть проинформированы о планируемом проекте.
  2. Доверие к поставщику услуг
    Чем больше доверия к Red Teaming Assessments, тем ценнее знания, полученные в ходе испытаний.
  3. Ноу-хау и универсальность поставщика услуг
    Поставщик услуг Red Teaming Assessment должен продемонстрировать большой опыт, универсальность, опыт и тактичность. Отраслевые знания помогают в планировании подхода.
  4. Работать гибко и быстро
    Оценки Red Teaming Assessments проводятся динамически и гибко, нет фиксированного времени. Если, например, становятся известны новые детали, которые влияют на компанию, то Red Team также может увеличить сроки проверки.
  5. Использование всех возможностей
    Для получения как можно более точной картины ситуации в области безопасности следует использовать как можно больше инструментов Red Teaming Assessments, включая социальную инженерию.
  6. Ограничения производственных систем
    Red Teaming Assessments в основном тестирует продуктивные системы. Остаточный риск системных ограничений неизбежен, поэтому клиент должен принять соответствующие меры предосторожности.
  7. Использование независимых аудиторов для проведения социально-инженерных оценок
    Чтобы не фальсифицировать результаты, следует использовать независимых аудиторов, особенно при выполнении заданий в области социальной инженерии в контексте Red Teaming Assessments.
  8. Эффективная работа над ошибоками
    Компании должны конструктивно работать над устранением слабых мест.
  9. Определить правила проведения оценки
    Есть случаи, когда системы и приложения должны быть исключены из аудита. Они должны быть четко определены в начале.
  10. Извлеченные уроки и коучинг
    Все результаты должны были быть включены в последующую фазу «Извлеченные уроки», включая подробную документацию и воспроизведение отдельных этапов испытаний, чтобы иметь возможность эффективно исправлять ошибки.

Вывод:
Если принять во внимание упомянутые выше 10 факторов успешной оценки, то, как показывает опыт проектов TÜV TRUST IT (www.it-tuv.com), Red Teaming Assessments в долгосрочной перспективе окупаются с экономической точки зрения, так как повышение уровня безопасности может быть достигнуто далеко за рамками улучшения чисто технических мер безопасности.

О группе компаний TÜV TRUST IT GmbH TÜV AUSTRIA
TÜV TRUST IT GmbH успешно работает как IT-TÜV на протяжении многих лет и является частью группы компаний TÜV AUSTRIA. Из своих офисов в Кельне и Вене компания выступает в качестве нейтрального, объективного и независимого партнера экономики. Основное внимание уделяется выявлению и оценке ИТ-рисков. Ее услуги сосредоточены в таких областях, как управление информационной безопасностью, безопасность мобильных устройств, «облачная» безопасность, безопасность систем, приложений и центров обработки данных, управление ИТ-рисками и соблюдение требований ИТ.

Советы группы компаний TÜV TRUST IT GmbH по проведению оценки Red Teaming Assessments. (C) Шаттерсток, Энн Костенко.