Тестирование на проникновение имеет больше преимуществ, чем вы думаете
Тестирование на проникновение измеряет эффективность ваших защитных мер кибербезопасности. И помните, их эффективность со временем меняется, поэтому повторяйте по мере необходимости. В мире кибербезопасности нет ничего, что можно было бы забыть.
Обход уязвимости
Во всем нетривиальном ПО есть ошибки. И куда бы вы ни посмотрели в своей сети, есть программное обеспечение, так что печальная правда в том, что ваша сеть полна ошибок. Не все эти ошибки приведут к уязвимости, но некоторые сделают это. И если злоумышленники воспользуются хотя бы одной из этих уязвимостей, ваша сеть будет скомпрометирована.
Операционные системы, программные приложения и микропрограммы устройств — все это формы программного обеспечения. Очевидно, что серверы и конечные точки сети будут работать под управлением операционных систем и приложений. Элементы, которые часто упускаются из виду, — это другие сетевые устройства, такие как брандмауэры, маршрутизаторы, точки беспроводного доступа и коммутаторы. Все они содержат как минимум прошивку, а часто и встроенную операционную систему. Другие устройства, такие как устройства Интернета вещей и другие интеллектуальные устройства, также имеют прошивку, встроенную операционную систему и некоторый код приложения.
По мере обнаружения уязвимостей ответственные поставщики выпускают исправления безопасности. Они содержат исправления известных ошибок, закрывающие известные уязвимости. Но это не поможет — если не повезет — исправить какие-либо неизвестные уязвимости.
Предположим, что часть программного обеспечения имеет три уязвимости. Две из них обнаружены, и для их решения выпущено исправление безопасности. Третья уязвимость, пока не обнаруженная, все еще находится в программном обеспечении. Рано или поздно эта уязвимость будет обнаружена. Если киберпреступники обнаружат ее, они смогут использовать эту уязвимость во всех системах, на которых работает эта версия программного обеспечения, до тех пор, пока производитель не выпустит исправление и конечные пользователи не применят это исправление.
По иронии судьбы, новые уязвимости могут быть введены с помощью исправлений, обновлений и апгрейдов. И не все уязвимости связаны с ошибками. Некоторые из них связаны с ужасными дизайнерскими решениями, такими как камеры видеонаблюдения с поддержкой IoT Wi-Fi, которые не позволяли пользователям изменять пароль администратора. Поэтому нельзя сказать, что ваши системы свободны от уязвимостей. Но это не означает, что вы не должны делать все возможное, чтобы убедиться, что они свободны от известных уязвимостей.
Тестирование на проникновение и тестирование уязвимостей
Тест на проникновение на самом деле представляет собой большой набор тестов, предназначенных для оценки безопасности ваших внешних ИТ-активов. Для методичного выявления любых уязвимостей, которые можно использовать, используется специальное программное обеспечение. Он делает это, выполняя многочисленные безобидные атаки на вашу защиту. Тестовый прогон может включать сотни различных запланированных тестов.
Тестирование уязвимостей — это аналогичный тип сканирования, но он выполняется внутри вашей сети. Он ищет уязвимости того же типа, что и тестирование на проникновение, и проверяет, являются ли версии операционной системы актуальными и все еще поддерживаются производителем. Тестирование уязвимостей выявляет уязвимости, которыми может воспользоваться злоумышленник или вредоносное ПО, если кто-то из них получит доступ к вашей сети.
Отчеты, созданные этими тестами, на первый взгляд могут показаться ошеломляющими. Каждая уязвимость описана, а также указан номер их общих уязвимостей и рисков. Это можно использовать для поиска уязвимости в одном из онлайн-индексов уязвимостей. Даже скромные сети могут генерировать отчеты объемом в несколько десятков страниц. Для сетей среднего размера отчеты могут измеряться сотнями страниц.
К счастью, уязвимости ранжированы в соответствии с их серьезностью. Очевидно, что вам нужно сначала устранить уязвимости с наивысшим приоритетом, то есть самые серьезные, а затем — со вторыми по приоритетности и так далее. Уязвимости самого низкого уровня технически являются уязвимостями, но имеют настолько низкий риск, что их считают скорее рекомендательным, чем обязательным пунктом для исправления.
Иногда исправление одной уязвимости устраняет целый ряд проблем. Просроченный или самоподписанный сертификат TLS/SSL может создать длинный список уязвимостей. Но исправление этой одной проблемы позволит устранить все связанные с ней уязвимости одним махом.
Преимущества тестирования на проникновение
Наиболее важным преимуществом, которое дает тест на проникновение, является знание. Отчет позволяет понять и устранить известные уязвимости, присутствующие в ваших ИТ-активах, сети и веб-сайтах. Список приоритетов ясно говорит вам, какие уязвимости следует устранить немедленно, какие следует устранить в следующий раз и так далее. Это гарантирует, что ваши усилия всегда будут направлены на наиболее серьезные оставшиеся уязвимости. Он, безусловно, выявит риски, о которых вы не подозревали, но также — хотя и с помощью отрицательных доказательств — покажет вам области, которые уже надежно защищены.
Некоторое программное обеспечение для тестирования на проникновение может выявлять уязвимости из-за проблем с неправильной конфигурацией или плохой гигиены кибербезопасности, таких как конфликтующие правила брандмауэра или пароли по умолчанию. Это простые, быстрые и недорогие решения, которые сразу же улучшат ваше кибер-положение.
Все, что повышает эффективность вашей кибербезопасности, защищает ваши самые конфиденциальные данные и способствует непрерывности вашего бизнеса. И, конечно же, предотвращение взломов и других инцидентов, связанных с безопасностью, также поможет вам избежать штрафов за защиту данных или судебных исков со стороны субъектов данных.
Знание того, где были ваши слабые места и каковы они были, может помочь вам спланировать и построить дорожную карту для вашей оборонительной стратегии. Это позволяет планировать бюджет и расставлять приоритеты в расходах на обеспечение безопасности. Это также позволяет вам обнаружить пробелы в процедурах вашей политики или областях, где они не соблюдаются.
Если ваша стратегия установки исправлений соблюдается, исправления безопасности и исправления ошибок должны применяться своевременно после их выпуска производителем. Поддержание этой дисциплины не позволит вашим операционным системам, приложениям и прошивкам отставать.
Если ваша организация работает в соответствии со стандартом, таким как Стандарт безопасности данных индустрии платежных карт (PCI-DSS) или ISO/EUC 27001, тестирование на проникновение, вероятно, будет обязательным шагом для обеспечения соответствия. Поставщики страховых услуг в сфере кибербезопасности могут потребовать от вас провести проникновение, прежде чем они предложат вам полис, или они могут предложить сниженную премию, если вы регулярно проводите тестирование на проникновение.
Все чаще как потенциальные, так и существующие клиенты просят ознакомиться с результатами недавнего отчета о тестировании на проникновение в рамках своей комплексной проверки. Потенциальный клиент должен убедиться, что вы серьезно относитесь к безопасности, прежде чем он сможет доверить вам какие-либо свои данные. Существующие клиенты также должны убедиться, что их нынешние поставщики принимают необходимые меры кибербезопасности, чтобы не стать жертвой атаки на цепочку поставок.
Это не одноразовая вещь
Вы не захотите, чтобы результаты вашего первого теста на проникновение вышли за пределы вашей организации. Проведите первый раунд тестирования, выполните исправительную работу, а затем повторите тестирование. Этот второй набор тестов должен обеспечить ваш рабочий базовый уровень и набор результатов, которыми вы хотели бы поделиться со сторонними сторонами.
Проникновение необходимо повторять не реже одного раза в год. Шестимесячный цикл подходит для большинства организаций.