Рубрикатор |
Статьи |
Дмитрий КОСТРОВ  | 18 ноября 2024 |
Постоянный пентест: «с чем его едят»
Хорошо, когда компания хотя бы единожды организует тестовую кибератаку на свою компьютерную систему для выявления ее уязвимостей и последующего их устранения. Но наиболее правильный подход – сделать такое тестирование регулярным, практически постоянным.
Как все уже знают, пентест, или тест на проникновение – это кибератака/ки на компьютерную систему, в ходе которой эксперты по кибербезопасности пытаются найти и использовать слабые места (уязвимости) в системе, включая возможность получения неавторизованными сторонами доступа к ее функциям и данным. Такое тестирование легально проводится для выявления уязвимостей, которыми могут воспользоваться злоумышленники. Похожие методы применяются иногда для проверки физической безопасности объекта: заказчик нанимает специалистов, которые пробуют проникнуть на защищаемый объект (склад, например).
По информации одного из лидеров кибербезопасности, 92% компаний не осведомлены обо всех серверах в своей внешней инфраструктуре. А скрытые ИT-активы компании не контролируются, не защищаются и являются легкой мишенью для злоумышленников. После проведения разведки по открытым источникам реально защищаемый периметр увеличивается в 2,5 раза, и один из основных векторов для проникновения во внутреннюю сеть – эксплуатация уязвимостей и использование утекших учетных данных.
Тестирование на проникновение помогает организации обнаружить уязвимости и недостатки в своих системах, которые она, возможно, не смогла бы обнаружить сама. Устранение выявленных уязвимостей позволяет предотвратить реальные атаки.
В процессе пентеста обычно определяются целевые системы и конкретная цель, затем анализируется доступная информация и применяются различные средства достижения этой цели. Подходов к тесту на проникновение несколько: «белый ящик» (тестировщик заранее снабжается предысторией и системной информацией о компании), «черный ящик» (кроме названия компании предоставляется только базовая информация) или «серый ящик», который представляет собой комбинацию первых двух (когда аудитору предоставляются ограниченные знания об объекте).
Как проводить пентест? Можно купить специализированный сканер, на рынке информационной безопасности есть хорошие отечественные программы известных разработчиков. Или же можно нанять одну из компаний, которые выполняют такие проверки в качестве платной услуги. Первый путь интересен тем, что таким образом вы учите специалистов подразделения, отвечающего за кибербезопасность компании, ставите планы анализа, оговариваете время. Но это, как правило, подход «белого», редко «серого» типа. Второй путь позволяет использовать любой подход, в том числе «черный ящик». Но вы вынуждены проводить два сканирования в год (на рынке чаще всего предлагаются именно такие услуги). Первое, скажем, в начале года, потом один-два месяца уходит на устранение выявленных уязвимостей, затем проводится повторное сканирование. В конце года весь процесс по тем же шагам повторяется. А можно ли сделать эту работу постоянной/периодической? Можно.
Какие выгоды дает проведение пентеста? И почему его надо делать практически постоянным, т.е. с небольшой периодичностью?
- Полное видение внешних активов. Пентест (постоянный) дает организации полное представление обо всех ее внешних ИT-активах, включая не только контролируемые ресурсы (например, публичные серверы), но и те, о которых компания могла не знать (забытые домены, незащищенные веб-приложения). Это критически важно, поскольку многие уязвимости находятся в таких скрытых активах.
- Автоматизация процесса обнаружения и мониторинга. Благодаря тестированию возможен автоматический поиск всех доступных извне ресурсов, а также их регулярное сканирование на предмет новых уязвимостей. Это снижает нагрузку на команду кибербезопасности и позволяет выявлять угрозы в реальном времени. Здесь важно, что автоматизируется не только поиск уязвимостей, но и весь процесс целиком: поиск активов, инвентаризация, поиск уязвимостей, контроль устранения уязвимостей.
- Анализ и оценка рисков для бизнеса. Тестирование не просто предоставляет информацию о наличии уязвимостей, но и показывает общее «киберздоровье» компании. Это позволяет команде кибербезопасности сосредоточиться на наиболее значимых угрозах и защищать критически важные данные.
- Обеспечение соответствия требованиям регуляторов. Тестирование генерирует большое количество артефактов, подтверждающих состояние инфраструктуры в выбранный момент времени, что помогает в прохождении аудитов и обеспечивает выполнение требований внутреннего комплаенса.
На рынке уже предлагаются такие услуги различного ценового уровня и знаний/опыта команды. Большие компании создают собственные подразделения, закупая специальные сканеры и нанимая специалистов высокой квалификации в этой области.
По моему мнению, постоянное тестирование как услуга получит дальнейшее развитие. Компаниям-заказчикам будет предлагаться выявление и инвентаризация всех видимых и скрытых ИT‑активов компании (shadow IT), а также приоритизация мер реагирования с опорой на ретроспективные и актуальные данные для оценки уровня защищенности. Заказчики смогут получать единое окно с данными о внешнем периметре компании: IP‑адресах, доменах, сервисах, веб‑приложениях и уязвимостях. В результате снизится нагрузка на отдел кибербезопасности – услуга обеспечит поддержку экспертов на каждом этапе работы: от начала сканирования до верификации устранения уязвимостей. Будущее именно за сервисами централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени.
Дмитрий Костров, заместитель генерального директора по информационной безопасности, ООО «ИЭК
ХОЛДИНГ»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!