Ville virksomheten din overlevd et reelt cyberangrep?
Den økende digitaliseringen skaper mange nye inngangsporter for trusselaktører som kan kompromittere kritiske systemer og hente ut data og kundeinformasjon. Virksomheter må sørge for at sikkerheten er på et tilstrekkelig høyt nivå og samtidig etterkomme krav fra tilsynsmyndigheter og interessenter om å kvantifisere hvor effektive sikkerhetskontrollene deres er på tvers av systemer og plattformer. I tillegg må virksomheter ofte møte krav om å legge frem en tydelig plan for utbedringer.
Vi tar sikte på å gjenskape de teknikkene og taktikkene som virkelige trusselaktører benytter. Dette gjør vi ved å levere skreddersydde, etterretningsdrevne tester som ettergår en virksomhets forsvar i dybden, inkludert menneskelige og organisatoriske faktorer. For å levere dette benytter vi oss av PwC Global Threat Intelligence for å modellere testingen. Videre tar vi utgangspunkt i hver enkelt virksomhet sin risikoprofil for å gjøre testingen så realistisk og skreddersydd som mulig.
Etisk hacking, også kalt sikkerhetstester, penetrasjonstester eller pentester, er en effektiv måte å teste en virksomhets kapabiliteter innen forebyggende sikkerhet på, samt evne til å oppdage og håndtere reelle scenarier innen cyberangrep.
For å skape størst verdi for virksomheten bør slike øvelser gjennomføres så realistisk som mulig, helst med etterretningsdrevne angrepsscenarier for å identifisere eksisterende svakheter og forbedringsområder.
En penetrasjonstest vil tradisjonelt fokusere på å identifisere så mange tekniske sårbarheter som mulig uten fokus på å holde seg skjult. En red team-øvelse vil i motsetning ha hovedfokus på evaluering av virksomhetens deteksjons- og responskapabiliteter, og er ofte rettet mot spesifikke mål som skal oppnås uten å bli oppdaget og stoppet.
Relevante mål kan være å få tilgang til spesifikke sensitive data, få kompromittert virksomhetskritiske systemer, eller komme i en posisjon i virksomhetens nettverk der skadevare (f.eks. løsepengevirus) kan bli distribuert. Dette hjelper virksomheter å forstå hvordan de kan forsvare seg mot et målrettet cyberangrep fra en ressurssterk og målbevisst trusselaktør. I tillegg vil virksomheten få testet i hvilken grad eksisterende sikkerhetskontroller fungerer, status på nåværende deteksjonskapabiliteter og logger, samt hvordan organisasjonen responderer på et reelt avansert angrep.
PwC har en egenutviklet metodikk for å levere virkelighetsnære og etteretningsdrevne tester. Teamet som utfører testingen kan bestå av ressurser fra vår trusseletteretningsavdeling i tillegg til sikkerhetstestere. Sikkerhetstesterne som utfører disse testene, vårt Red Team, er eksperter på trusselforståelse og sikkerhetstesting, og samarbeider tett med virksomheten for å levere en helhetlig tilnærming til angrepssimulering.
Testerne tar i bruk de nyeste teknikkene som benyttes av ulike trusselaktører og gir en realistisk vurdering av virksomhetens motstandsdyktighet. PwCs team kan simulere ulike trusselaktører ved og blant annet benytte egenutviklede verktøy og rammeverk som eksempelvis et egenutviklet Command & Control rammeverk. Dette gjør at testerne har muligheten til å også simulere svært avanserte trusselaktører i red team-øvelser.
PwC tilbyr øvelser der virksomheter kan teste og forbedre sin evne til å detektere ondsinnede handlinger gjennom purple team-øvelser. En purple team-øvelse involverer både sikkerhetstestere (red team) og virksomhetens ansvarlige på forsvarssiden (blue team). PwC tilbyr også å inkludere konsulenter med erfaring med deteksjonsarbeid for å bistå virksomhetens ansvarlige på forsvarssiden i purple team-øvelser.
Sikkerhetstesterne utfører predefinerte handlinger/angrep og samarbeider så med forsvarssiden for å identifisere hva som ble oppdaget og hva som gikk ubemerket hen. På den måten samarbeides det for å forbedre deteksjonskapabiliteten og forsvarsmekanismene hos virksomheten som øver.
PwC tilpasser disse øvelsene etter virksomheters modenhet og ønske slik at testingen gir verdi. Det er mulig å kjøre øvelsen som et enkelt prosjekt, eller jevnlig med iterasjoner for å teste deteksjonsevnen etter at tiltak er innført.
Det finnes en rekke ulike typer tester på markedet som hjelper virksomheter å forbedre sin grunnleggende "cyber-hygiene". En av de mest effektive metodene er etterretningsdrevet sikkerhetstesting. For bank- og finansinstitusjoner har denne metodikken blitt formalisert under rammeverket Threat Intelligence-Based Ethical Red Teaming (TIBER-EU). Videre kommer reguleringen Digital Operational Resilience ACT (DORA) med sine krav til Threat Led Penetration Testing (TLPT) som bygger på TIBER til å tre i kraft i markedet i løpet av de neste årene. PwC tilbyr å gjennomføre tester i henhold til disse standardene, i tillegg til tester som baserer seg på standardene.
Etterretningsdrevne tester gir en omfattende forståelse av svakheter og sårbarheter på organisatorisk, menneskelig og teknisk plan, og gir en detaljert trusselvurdering som kan brukes til å styrke virksomhetens beslutningsgrunnlag. Det leveres til slutt en rapport som forklarer hvilke svakheter og sårbarheter som er identifisert i tillegg til hvilke tiltak PwC anbefaler at implementeres for å forbedre svakhetene.
Prosessen vi benytter har følgende steg:
PwC tilbyr avanserte penetrasjonstestingstjenester skreddersydd for å identifisere forretningskritiske svakheter og sårbarheter i operasjonell teknologi (OT)- og Internet-of-Things (IoT)-miljøer.
Vårt team har lang erfaring med testing av de største og vanligste løsningene innen både IoT, industrielle kontrollsystem (ICS) og OT. Vi har god kjennskap til hvordan systemene fungerer og hvordan disse må settes opp og driftes for å opprettholde virksomhetens sikkerhet. Vi forstår at man ikke bare kan bruke den samme tilnærmingen man er vant med fra IT systemer i kontornett for å sikre operasjonelle miljøer.