Фирмен наръчник за киберсигурност

Враг зад портите

Враг зад портите

Пенетрейшън тестовете помагат на компаниите не само да разкрият уязвимостите в своите системи, но и да разберат до какво могат да доведат те

Това е маркетинг публикация. Отговорността за нейното съдържание носи рекламодателят и то отговаря на правилата за нейтив пакети.
4276 прочитания

В древността и Средновековието обичайно за успеха на една военна кампания се съди от завземането на някоя ключова крепост или съответно неуспешната й обсада. Твърдините обаче се изграждали на труднодостъпни места и при сериозна съпротива нападателите рискували да претърпят значителни загуби. Затова в много случаи разликата между успешната и неуспешната кампания давало знанието за скритите уязвимости на отбранителните съоръжения.

С дигитализацията на обществените отношения и бизнеса през последното десетилетие компаниите често се оказват в ролята на едновремешните защитници по отношение на информационната сигурност - подложени на постоянна обсада от многоброен и добре въоръжен противник. За разлика от тях обаче периметърът, който трябва да защитават съвременните бранители в дигиталното пространство, е значително по-голям, а заплахите - много по-разнопосочни и комплексни. Едно от основните оръжия, което би могло да наклони везните в тяхна полза, е пенетрейшън тестът (Penetration test) - метод за оценка на сигурността на компютърни системи и мрежи чрез симулиране на атаки от злонамерени външни или вътрешни на организацията лица.

Пенетрейшън тестът (Penetration test) е метод за оценка на сигурността на компютърни системи и мрежи чрез симулиране на атаки от злонамерени външни или вътрешни на организацията лица.

"Тази дейност се фокусира върху откриването на определен тип уязвимости и слабости в дадена система или мрежа, както и върху анализа на възможностите те да бъдат използвани с определена цел и какъв би бил ефектът от това върху целостта, конфиденциалността и наличността на информацията и рисковете за организацията. Това е сложна задача, която влиза в детайлите на тестваната технология, а успехът й зависи конкретно от възможностите на човека, който я извършва", обяснява инструкторът по информационна сигурност и Chief Strategy Officer на компанията за киберсигурност Amatas Борис Гончаров.

Според 2021 Penetration Testing Report на американска компания за компютърна и мрежова сигурност Core Security by HelpSystems 74% от компаниите извършват пенетрейшън тестове във връзка с програми за управление на уязвимостите, 73% - за измерване на общите нива на сигурност на организацията, а 70% - за да си гарантират съответствие със законодателните изисквания. Рисковете, които компаниите искат да минимализират с помощта на този модел, също са разнопосочни. На първо място респондентите в изследването поставят неправилната конфигурация на мрежи и системи (80%), следвана от фишинг заплахите (79%), слабите пароли (60%), неизползваните акаунти (31%) и загубата или кражбата на устройства (29%). Широкият спектър от проблеми, който обхващат пенетрейшън тестовете, обаче превръщат този тип услуги в сложни за изпълнение, а повърхностният подход към тях засилва киберрисковете пред организациите.

Оценката на уязвимостите не е достатъчна

Най-често правената грешка е поставянето на знак за равенство между оценката на уязвимостите и пенетрейшън тестовете. "Често пенетрейшън тестовете се бъркат с различни видове анализи на сигурността като оценката на уязвимостите. Тя е отделен елемент от цялостната стратегия за киберсигурност, като основната й идея е да открие наличието на добре познати уязвимости, които са били идентифицирани вече, има публикувана информация за тях, има разбиране за техните характеристики и има указания как те да бъдат ограничени. Това е стандартен процес, който трябва да се случва регулярно и непрекъснато в една организация, но не може да бъде еквивалент на пенетрейшън теста", предупреждава Борис Гончаров.

В същото време оценката на уязвимостите не дава информация относно това по какъв начин може да бъдат използвани откритите уязвимости, какъв би могъл да бъде последващият ефект от тяхното използване, какви данни могат да бъдат достигнати и какво би означавало това за дейността на организацията. Този комплексен поглед може да бъде постигнат единствено чрез пенетрейшън тест. "При него могат да се открият уязвимости, които сами по себе си не са техническа слабост, а са свързани с начина, по който се контролират процесите и е изградена цялостната система или мрежа. С други думи, един пенетрейшън тест далеч надхвърля елемента на проверка", категоричен е инструкторът по информационна сигурност и обръща специално внимание, че използването само на автоматизирани инструменти, характерни за процеса по оценка на уязвимостите, заплашва да създаде измамно усещане за сигурност на една организация, "тъй като те са много далеч от възможностите на специалистите по отношение на анализа и разбирането на голямата картина".

Често пенетрейшън тестовете се бъркат с различни видове анализи на сигурността като оценката на уязвимостите. Тя е отделен елемент от цялостната стратегия за киберсигурност, като основната й идея е да открие наличието на добре познати уязвимости, които са били идентифицирани вече, има публикувана информация за тях, има разбиране за техните характеристики и има указания как те да бъдат ограничени.

"Едновременно с това има много хора, които предлагат услуги за пенетрейшън тестове, но всъщност не разбират технологията, която тестват, нито механиката на самия процес по тестване. Те използват някакъв инструмент, изпълняват някаква команда, тя резултира в нещо и то после се представя като крайна оценка. Често подобен тип изпълнения по-скоро вредят на организациите, отколкото да им помагат", смята Борис Гончаров.

Това неминуемо повдига въпроса какво трябва да имат предвид организациите при избора на доставчик на услуги за пенетрейшън тестове.

Източници:

2021 Penetration Testing Report на Core Security by HelpSystems

Penetration Testing Services Procurement Guide на CREST

Прогнози на Cybersecurity Ventures

Който го може, го може

Анализ на водещата изследователска компания Cybersecurity Ventures сочи, че към края на 2021 г. в сферата на киберсигурността в глобален мащаб има 3.5 милиона незаети работни места. В това число логично попадат и специалистите в сферата на пенетрейшън тестовете. Според 2021 Penetration Testing Report едва 56% от компаниите разчитат на вътрешни екипи, докато 36% никога не са разполагали с такива, а 8% от респондентите отговарят, че някога са имали, но са се отказали от тази практика. Попитани защо нямат подобни звена в организацията си, цели 36% посочват като основна причина липсата на талант. "Истински завършените специалисти са голяма рядкост като експертиза в глобален мащаб. В това поле проблемът с кадрите е огромен, тъй като въпросният специалист, за да тества една система, трябва да е наясно как функционира тя, какъв е технологичният стак, който се използва, а не просто да разчита на някакъв инструмент и да представи резултатите от неговата проверка. "Отглеждането" на вътрешни специалисти винаги е по-добър вариант, тъй като организациите имат пълен контрол над тях, но изграждането на подобна експертиза изисква години обучение и постоянно повишаване на квалификацията, а в много случаи ресурсите са ограничени", коментира Борис Гончаров.

Затова и компаниите често прибягват до услугите на трети страни, сблъсквайки се с въпроса на каква база да направят своя избор на доставчик. От глобалната сертифицираща организация CREST отговарят: "Два от най-важните критерии, които трябва да се вземат предвид, са репутацията и историята на доставчика и етичното поведение, което той възприема и налага", а Борис Гончаров добавя: "Сертификациите са добра изходна точка, но наличието им или липсата им не могат да бъдат основа за оценката на един специалист. Има много хора, които нямат нито един сертификат, а са много добри специалисти. Те просто не вярват в сертификацията. Това е друг тип мислене. По-важен критерий са предишните изпълнени проекти върху даден тип технология и наличието на обратна връзка от клиенти."

Но ако при избора на доставчик на услуги за пенетрейшън тестове винаги ще има множество въпросителни, то няма съмнение, че ако има нещо по-опасно от враг пред портите, е врагът зад тях.

В древността и Средновековието обичайно за успеха на една военна кампания се съди от завземането на някоя ключова крепост или съответно неуспешната й обсада. Твърдините обаче се изграждали на труднодостъпни места и при сериозна съпротива нападателите рискували да претърпят значителни загуби. Затова в много случаи разликата между успешната и неуспешната кампания давало знанието за скритите уязвимости на отбранителните съоръжения.

С дигитализацията на обществените отношения и бизнеса през последното десетилетие компаниите често се оказват в ролята на едновремешните защитници по отношение на информационната сигурност - подложени на постоянна обсада от многоброен и добре въоръжен противник. За разлика от тях обаче периметърът, който трябва да защитават съвременните бранители в дигиталното пространство, е значително по-голям, а заплахите - много по-разнопосочни и комплексни. Едно от основните оръжия, което би могло да наклони везните в тяхна полза, е пенетрейшън тестът (Penetration test) - метод за оценка на сигурността на компютърни системи и мрежи чрез симулиране на атаки от злонамерени външни или вътрешни на организацията лица.

Пенетрейшън тестът (Penetration test) е метод за оценка на сигурността на компютърни системи и мрежи чрез симулиране на атаки от злонамерени външни или вътрешни на организацията лица.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.

Влезте в профила си

Всеки потребител може да чете до 5 статии месечно без да има абонамент за Капитал.

Вижте абонаментните планове
Close
Бюлетин
Бюлетин

Вечерни новини

Най-важното от деня. Всяка делнична вечер в 18 ч.


0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал