Важен не процесс, а результат
Да кто угодно!
Анализ защищенности - замечательный механизм проверки своей готовности к реальным инцидентам технически и организационно-процессно. При грамотном составлении ТЗ на работы, можно эффективно управлять приоритетам аудиторов, фокусировать их усилия на наиболее важных для себя вещах. Вообще, фокусировка - принципиальный навык для руководителя ИБ, поскольку безопасности никогда не бывает с избытком, а ресурсы всегда ограничены.
Безопасность - это процесс, поэтому типично-проектные деятельности следует разумно в него встроить, - так появилась мода на "непрерывный анализ защищенности", по-иностранноу - "continuous security assessment" или "continuous pentest". Однако, как показывает нерадужная практика, пентестеры на повторных проектах видят одни и те же проблемы, что сводит к нулю эффект от всей затеи. Дело в том, что пентест ценен не самим процессом взлома, а мероприятиями по улучшению механизмов ИБ в рамках работы над выявленными аудиторами проблемами. Результат - это разбор отчетов по пентесту, выработка мероприятий, как по части конфигурации самих ИТ-систем, так и наложенных средств ИБ и мониторинга, а также обучения ИТ и ИБ команд. И вот эта работа над отчетом - самая важная часть, однако, как правило, не проводится командой анализа защищенности, хотя ее результативность определяет обоснованность следующего пентеста, поскольку полная глупость проводить новый анализ защищенности прежде чем будут устранены все уязвимости, выявленные в рамках предыдущего проекта.
После анализа отчета по результатам пентеста должен появиться план работ. Как правило, он включает краткосрочные и долгосрочные мероприятия, а также различные перспективы. Чтобы ничего не забыть можно использовать эшелонированный подход, как пример, картинка ниже (не претендует на полноту, цель - продемонстрировать подход)
Трудоемкость составления плана мероприятий после анализа защищенности зависит от подаваемого на вход отчета по пентесту (всегда стоит держать в памяти, что ТЗ на пентест - очень важно!). Например, чтобы проконтролировать свои возможности по обнаружению и отслеживанию деятельности атакующих, полезно подготовить что-нибудь вроде вот такой таблички.
Сравнение того, что делали атакующие и что видел SOC наглядно покажет, что надо бы поделать, чтобы в будущем то или иное действие выявить быстрее, с меньшими трудозатратами, с меньшей вероятностью пропуска и ошибки аналитика, или заметить в принципе.
Табличка приведена как пример, поэтому на практике она может иметь огромное количество колоночек, в зависимости от потребности контроля той или иной перспективы. Например, если был полноценный red-teaming и задача была не только трекать деятельность аудиторов, а еще активно их респондить, то можно добавить: метку времени подключения команды DFIR, артефакты, переданные им на вход, результаты их работы, дальнейший план расследования на тот момент.
В завершение хочется отметить, что пентест\red-teaming\анализ защищенности - это способ выявления проблем, инструмент, позволяющий понять, что надо делать в каких направлениях в краткосрочной и долгосрочной перспективах. Говорят, что 70% решения математической задачи заключается в понимании условия, однако, на практике, ценность имеет отнюдь не понимание условия, а результат решения. Аналогично, в ИБ значение имеет результат отработки плана, составленного по результатам анализа защищенности. Эта работа - одна из важнейших задач Фиолетовой команды, сочетающей в себе одновременно компетенции Красных, иначе могут быть сложности с интерпретацией действий атакующих, и, еще в большей степени - Синих, поскольку им надо предложить адекватные мероприятия по повышению стойкости к будущим аналогичным действиям.
