مدل بلوغ امنیت تهاجمی یا offensive security maturity model به عنوان کسی که در حوزه امنیت تهاجمی(آفنسیو) فعالیت میکنید باید در نظر بگیرید هر سازمان یک ردیف بودجه ای میتواند به امنیت اختصاص دهد و شما با توجه به آن باید سعی به افزایش سطح امنیت بکنید.
این مدل در واقع از پایین ترین سطح تا بالاترین سطح با توجه به بودجه سازمان می تواند تاثیر گذار باشد.
Vulnerability scanning
یکی از اولیه ترین ارزیابی های امنیتی که در سازمان ها وجود دارد اسکن آسیب پذیری هست امروزه تمام سازمان ها با توجه به ردیف بودجه ای که دارند از اسکنرهای رایگان یا اسکنرهای تجاری جهت ارزیابی امنیت سازمان خود استفاده می کنند.
مزیت ها: خیلی سریع انجام می گیرد. می توان به راحتی چندین بار این کار در زمان های مختلف به صورت دستی یا اتومات انجام داد.
معایب: نیازمند ارزیابی توسط یک متخصص جهت جلوگیری از False positive می باشد. هزینه برخی از اسکنرهای تجاری خیلی بالا می باشد. اسکنرهای تجاری محدودیت روی ایران دارند.
Vulnerability Assessment
ارزیابی آسیب پذیری بسیار مهم است به عنوان متخصص باید بررسی شود نتایج ابزارهای اسکنر چقدر صحت دارند و CVE که پیدا شده است چه میزان خطر برای سازمان دارد CVSS .
مزیت ها: اگر متخصص در سازمان بتوانند این ارزیابی را انجام دهد false positive وجود ندارد به اشتباه یک آسیب پذیری به واحد توسعه نرم افزار جهت رفع گزارش نمی شود.
معایب: این ارزیابی بدون اکسپلویت کردن و شرایط بعد از دسترسی بدرد نمی خورد که این کار کار پنتستر می باشد
Penetration Testing
خیلی از سازمان ها در حال حاظر تعدادی پن تستر دارند که مشغول به ارزیابی دارایی هایشان هستند
information gathering
enumeration and vulnerability scanning
exploiting
maintain access
privilege escalation
post exploitation
reporting
تست نفوذ شامل اجرای قدم های موارد بالا هست که فقط مرحله دوم با دو مورد اول یکسان هست و پنتستر در واقع کارش اکسپلویت کردن تمام آسیب پذیری های کشف شده و ارزیابی شرایط بعد از اکسپلویت و در واقع میزان نفوذ پذیری به سازمان می باشد که شامل گذاشتن بکدور بالا بردن سطح دسترسی است
مزایا: شناسایی گپ های امنیتی در سازمان، گزارش مفصل جهت رفع مشکلات
معایب: هزینه بر بودن، زمان بالا
Red Team Engagements
ردتیم شبیه سازی TTP تاکتیک تکنیک و روش های بر اساس فریمورک MITRE ATTACK می باشد که هدف آن شناسایی ضعف مکانیسم های شناسایی و دفاعی و واکنش به رویداد می باشد.
مزایا: شناسایی ضعف Detection rules، ارزیابی IR
معایب: هزینه بر بودن، باید دایم تکرار شود چون تکنیک ها اضافه می شوند.
Purple Team Exercises
تمرین های پرپل تیم با کمک گزارش های هوش تهدید و برقراری جلسات منظم دو تیم رد و بلو اجرای همزمان تاکتیک تکنیک و روش ها و بررسی Detection rule ها رفع مشکلات
مزایا : افزایش بهره وری رد تیم بلو تیم، افزایش امنیت سازمان
معایب: زمان بر بودن جلسات، هزینه بالا برای سازمان
Adversary Emulation
شبیه سازی یک حمله گروه هکری دولتی APT group به سازمان بالاترین سطح از ارزیابی امنیت تهاجمی روی سازمان می باشد. زمانی سازمان ها وارد این مرحله می شوند که مراحل قبلی را گذرانده و اکنون به دنبال یک Breach and attack Emulationروی سازمانشان هستند
هر گروه APT ممکن است چندین سناریو حمله داشته باشد که باید تمام آن ها شبیه سازه شود!
مزایا: میزان دانش و واکنش IR و Blue Team ارزیابی می شود. Detection rules ها مشکلاتش کشف می شود.
معایب: خیلی خیلی زمان بر و هزینه بر است بعضی از APT group ها فرایند شبیه سازیشان ممکن است چندین ساعت تا چند روز طول بکشد و هزینه بالایی برای سازمان در بر داشته باشد.
