Что общего между военными стратегами, спортивными тренерами, настольными играми и консультантами по кибербезопасности? Они знают ценность популярной пословицы: «Лучшая защита — это нападение». В контексте кибербезопасности это, конечно, не означает, что организации должны стремиться взломать системы угрожающих субъектов. Скорее, это относится к необходимости компаний включить в свои планы кибербезопасности наступательную безопасность в виде тестирования на проникновение (пенеста) или анализа уязвимостей. Тестирование на проникновение — это процесс, включающий ручное тестирование, проводимое консультантом по безопасности с целью выявления и использования уязвимостей безопасности в клиентской среде. Но почему тестирование на проникновение так важно?
Короткий ответ заключается в том, что пентест позволяет организациям оценить состояние своей кибербезопасности на основе реалистичных сценариев атак, что, в свою очередь, позволяет им решать проблемы, которые были бы упущены, если бы они использовали полностью оборонительный подход к безопасности. Поскольку это звучит несколько двусмысленно, в этой статье мы хотели бы рассказать о некоторых основных преимуществах тестирования на проникновение.
Почти все тесты на проникновение выявляют важные уязвимости в системе ИБ
Тесты на проникновение очень эффективны. Другими словами, тестировщики часто успешно находят уязвимости в системе безопасности организаций. Фактически, недавнее исследование показало, что в 2018 году исследователи безопасности, выдававшие себя за сторонних субъектов угроз, взломали внутреннюю сеть клиента в 92% внешних тестов. Еще более поразительными были результаты внутренних тестов, в которых основное внимание уделялось потенциальному ущербу, наносимому вредоносными инсайдерами, подключенными к локальной сети, поскольку тестеры смогли получить полный административный контроль над системой в 100 процентах случаев.
Эти выводы доказывают две вещи. Во-первых, тестирование на проникновение, несомненно, эффективно для выявления способов, с помощью которых субъекты угроз могут проникнуть в вашу сеть, чтобы получить доступ, манипулировать, нарушить работу или повредить ценные данные и системы. В исследовании также отмечается, что компании просто не могут защитить свои системы должным образом. Отчасти проблема заключается в том, что многие организации не уделяют должного внимания безопасности и поэтому не выделяют на нее достаточных ресурсов. Однако фундаментальная проблема здесь заключается в том, что, как и для многих организаций, сосредоточение внимания только на оборонительной безопасности является принципиально ошибочной стратегией.
Недостаточно защищать свою безопасность только оборонительными средствами. Это все равно, что пытаться создать безупречную рукопись, редактируя собственную работу: несмотря на то, что очень важно проверять написанное перед отправкой, вы наверняка пропустите несколько опечаток и, возможно, даже более простые ошибки. Чтобы избежать этого, вам действительно нужна свежая пара глаз, чтобы посмотреть на свою работу. Лучше всего для этой работы подойдет профессиональный корректор, который точно знает, как читатели издательства прокомментируют ваше письмо. То же самое справедливо и для организаций, которые хотят проверить истинную безопасность своих систем: им нужен кто-то, кто прощупает их системы как злоумышленник. И лучше всего для этой работы подходит профессиональная сторонняя компания по проникновению.
Пентест помогает предотвратить усталость от исправлений
Благодаря регулярному тестированию на проникновение, компании могут определить наиболее уязвимые элементы своей ИТ-инфраструктуры, чтобы в приоритетном порядке установить исправления для этих систем.
Например, исследование, приведенное выше, показывает, что при внешнем тестировании эксперты по безопасности часто могут нарушить периметр сети, используя уязвимости в веб-приложениях. Три из каждых четырех обнаруженных векторов проникновения (т.е. способов доступа к локальной сети) исходят от плохо защищенных веб-приложений. В этих случаях клиент может начать защиту этих приложений, установив последние обновления безопасности и улучшив конфигурацию безопасности, где это необходимо.
Тестирование на проникновение выявляет проблемы, выходящие за рамки оценки уязвимости.
Тестирование на проникновение — это не то же самое, что оценка уязвимости.
Один из способов для организации понять слабые места в своей системе кибербезопасности — пригласить специалиста по безопасности для проведения оценки уязвимостей, что означает, что специалист просканирует среду, чтобы обнаружить известные недостатки, влияющие на ее системы. Хотя оценка уязвимостей полезна для компаний, стремящихся укрепить свою безопасность, тестирование на проникновение дает много дополнительных преимуществ. В то время как первый просто информирует компании о том, где можно найти наиболее очевидные уязвимости в системе безопасности, второй также обнажает проблемы, лежащие под поверхностью, и демонстрирует реальный ущерб, который могут нанести субъекты угроз, используя определенные недостатки.
Например, вышеупомянутое исследование по пентесту показало, что каждая вторая система имеет настолько низкий уровень безопасности, что тестировщики могут использовать только один тип уязвимости, чтобы нарушить границы сети и получить доступ к внутренним сетям. Другими словами, половина компаний не следовали лучшим практикам, обеспечивая необходимость нескольких шагов для проникновения в ценные системы, которые могли бы остановить или хотя бы замедлить работу сегментации сети и других решений злоумышленника.
Этот вывод подчеркивает дополнительную ценность тестирования на проникновение по сравнению с оценкой уязвимостей, поскольку сканирование уязвимостей выявляет только поверхностные уязвимости, а не воздействие (т.е. это позволяет тестеру получить немедленный доступ к внутренней сети). Кроме того, пентест покажет, что злоумышленник может реально сделать в сети после получения доступа, например, какие конфиденциальные данные он сможет просмотреть. Это очень ценная информация, которую организации могут получить только с помощью тестирования на проникновение.