Количество кибер-атак постоянно растет из года в год. Компании все больше стремятся защитить от них свои ИТ-активы. Поэтому пентестинг, или тестирование на проникновение, очень полезен для выявления недостатков в системе безопасности и их устранения до того, как произойдет атака.
Что такое пентест?
Пентест, тест на вторжение или тест на проникновение — это метод, который заключается в анализе цели проникновения путем постановки себя на место хакера. Целью может быть IP-адрес, приложение, подключенный объект, веб-сервер или целая сеть. Уязвимость системы проверяется путем обнаружения недостатков, которые могут быть использованы при кибер-атаках.
Пентест может выполняться автоматизированным способом (с помощью программных приложений) или вручную (пентестерами). Он может проводиться извне (внешний пентест), из любого интернет-соединения или изнутри инфраструктуры (внутренний пентест) в сети компании.
Это метод, который позволит вам получить ключевую информацию для повышения уровня кибербезопасности.
Пентест или аудит безопасности?
Когда мы говорим о пентесте, мы не говорим об аудите безопасности, это не эквивалентно. Аудит позволяет составить представление о безопасности информационной системы или конфигурации. Оно будет основано на ответе на требования эталонных систем, на применении передового опыта. Поэтому нет необходимости проводить пентест, если система не обновлена. Пентест позволит предугадать сценарии злоумышленников и соответствующим образом скорректировать политику безопасности.
Почему полезно регулярно проводить тесты на проникновение?
Пентест — это надежное доказательство безопасности или проблем системы для клиентов и руководства. Оно позволяет продвинуться в поиске недостатков.
Цели пентеста:
- Определить уязвимые места вашей информационной системы или веб-приложения;
- Оценить степень риска каждой выявленной уязвимости и возможность ее использования;
- Предложить корректирующие меры в приоритетном порядке.
Пентест используется не только для составления списка уязвимостей, но и для формализации плана действий по устранению этих уязвимостей с учетом возможности их эксплуатации. Различные риски могут быть квалифицированы, также как и сложность исправлений, и приоритетность этих действий. Отсюда вытекает важность качества отчета и обратной связи после проведения теста и связанных с ним советов!
Поэтому пентест не является самоцелью. Это часть глобального подхода к оптимизации безопасности вашей информационной системы.
Каково требование стандарта ISO 27001?
В Приложении А стандарта ISO 27001:2013 говорится, что «информация о технических уязвимостях используемых информационных систем должна быть получена своевременно, должна быть оценена подверженность организации этим уязвимостям и должны быть приняты соответствующие меры для устранения связанного с ними риска».
Тестирование на проникновение должно отвечать этим требованиям, предоставляя список уязвимостей и анализ корректирующих действий, которые необходимо предпринять после имитации вредоносной атаки. Это доказательства того, что ваша система безопасна или что вы учли риски, присущие данному ИТ-активу, и предпринимаете корректирующие действия.
Но является ли пентест обязательным?
В настоящее время проведение пентестов не является обязательным. Более того, не существует международного стандарта для его проведения. Однако если у вас сложные системы, нестандартные архитектуры или созданные вами веб-приложения, то тестирование на проникновение необходимо.
Pentest — оперативное решение для процесса сертификации ISO 27001.
Чем отличаются белые, серые и черные ящики?
Важным аспектом пентестирования является определение сферы вмешательства. В зависимости от принятой стратегии результаты будут разными. Будет ли это внутренний тест или внешний? В каких условиях будет проводиться испытание?
В условиях сценария с хакером, который хотел бы проникнуть в незнакомую ему компанию, пентестер не имеет никакой информации о целевой сети в начале теста. Это черный ящик (или темный ящик).
В условиях сценария с обычным сотрудником компании пентестер располагает ограниченным объемом информации. После аутентификации он сможет проводить дальнейшие тесты внутри системы или приложения. Это называется серым ящиком.
В условиях сценария, при котором пентестер берет роль системного и сетевого администратора, он обладает большим количеством информации. Он будет искать недостатки, будучи максимально осведомленным о системе. Это белый ящик.
Как часто нужно проводить пентест?
Пентесты должны проводиться на протяжении всего жизненного цикла вашей системы. ИТ-активы имеют технические уязвимости, которые необходимо постоянно отслеживать и совершенствовать. С развитием технологий киберхакеры регулярно находят способы нарушить ту или иную меру безопасности, даже если она считается неприкосновенной!
Необходимо регулярно проводить тесты на проникновение на тех активах, которые попадают в сферу действия вашей оценки рисков. Тесты на проникновение дополняют план по управлению уязвимостями.
Как выбрать компанию для проведения тестов на проникновение?
Теперь вы убеждены в необходимости проведения пентестов для вашей компании? Но вы не знаете, как выбрать исполнителей.
Пентестинг — это не только перечисление уязвимостей, но и план действий, квалификация рисков и определение приоритетности исправлений. Важно, чтобы отчет, сопровождающий пентест, был подробным и адаптированным для вашей компании.
Кроме того, поставщик услуг, который будет проводить пентест, должен иметь команды сотрудников, обученные взлому, применять стандарт PASSI (требования к поставщикам аудита безопасности информационных систем) и следовать правилам ANSSI.
Еще один совет: если вы не подписываете контракт и/или соглашение о конфиденциальности для пентеста, то бегите прочь!