Учитывая растущее число кибератак по всему миру (более 467 000 жалоб было зарегистрировано Центром жалоб на киберпреступления ФБР в 2019 году), неудивительно, что организации вкладывают все больше и больше ресурсов в меры безопасности. Их повседневная деятельность все больше зависит от цифровых технологий, и число критически важных систем, развернутых в Интернете, быстро растет. По мере того, как организации становятся зависимыми от этих технологий, глобальные расходы на продукты и услуги информационной безопасности выросли до 114 миллиардов долларов уже в 2018 году.
Для тестирования и проверки инфраструктуры безопасности компании используются три важнейших теста: тестирование на проникновение, сканирование уязвимостей и Red team. Многие организации не понимают нюансов между этими тремя методами, потому что они имеют некоторое сходство. В этой статье мы собираемся обсудить основную цель каждого типа теста и уникальное использование каждого из них.
Сканирование уязвимостей
В отличие от тестирования на проникновение, которое требует вмешательства человека на всех уровнях, сканирование уязвимостей полностью автоматизировано. Оно предназначено для проверки известных уязвимостей, связанных с технологиями, используемыми компанией. Эти инструменты часто используются ИТ-командами для выявления неправильных конфигураций и систем, которые не были обновлены. Сканирование часто путают с тестированием на проникновение, поскольку оба они выполняют серию проверок на основе стандарта CVE, но автоматизированное сканирование обеспечивает гораздо менее детальную оценку, которая не учитывает наличие уязвимостей в целевой среде. Как правило, эти оценки выполняются только для сетей и их компонентов, но некоторые виды анализа также могут использоваться для приложений, хотя они гораздо менее эффективны.
Тест на проникновение
Основная цель теста на проникновение — выявить и предоставить доказательства того, что уязвимость существует в инфраструктуре безопасности компании. Тесты также стремятся определить ощутимое влияние нарушения безопасности на организацию или ее пользователей. В отличие от сканирования уязвимостей, тестирование на проникновение всегда связано с человеческим фактором. Тестировщики копируют методы, используемые хакерами, и безопасно используют уязвимости, чтобы точно определить, что может произойти, если хакер воспользуется каждой уязвимостью. Например, специалист попытается использовать сложные недостатки в логике приложения (то, как приложение обрабатывает данное действие), чтобы обойти авторизацию в приложении. Эксплуатируя каждую уязвимость, специалист сможет определить уровень риска в зависимости от того, насколько легко хакеры могут использовать его.
Пентесты помогают организациям ответить на ключевые вопросы, такие как:
- Как злоумышленник может нацелиться на наши системы?
- Какие уязвимости безопасности он может использовать?
- Чего может добиться злоумышленник, используя каждую уязвимость?
- Может ли он получить доступ к конфиденциальным данным?
По большей части этот тип оценки предназначен для обнаружения новых уязвимостей или тех, которые характерны для бизнес-среды, при этом гарантируя отсутствие «ложных срабатываний». Таким образом, компании могут полагаться на рекомендации специалистов по эффективному использованию своих ресурсов при реализации мер, обеспечивающих надлежащую защиту их систем. По сравнению с оценкой уязвимостей этот тип тестирования является гораздо более тщательным и дает надежное представление о рисках кибербезопасности, с которыми сталкивается организация. Он опирается на ручные методы в сочетании со специализированными инструментами для оптимизации своего времени, предоставляя злоумышленнику реальную перспективу.
Red Team
Учения Red Team очень похожи на тестирование на проникновение в том смысле, что они в значительной степени полагаются на «человеческий фактор» для выявления уязвимостей. Однако основной целью оценки Red Team является проверка общих возможностей организации по обнаружению и реагированию, а также любых существующих мер безопасности. Другими словами, эта симуляция не только проверяет средства управления ИТ компании, но также определяет готовность ее сотрудников, процессов и объектов к обеспечению безопасности. Red Team нацелен на все системы, которые специалист может найти во время оценки, и воспроизводит реальную кибератаку в больших масштабах.
Учения Red Team обычно координируются с одним ключевым заинтересованным лицом, таким как ИТ-директор или вице-президент, без уведомления их ИТ-команды о проведении учения. Не имея времени на подготовку к атаке, ИТ-команда должна реагировать на симуляцию так же, как на реальное событие. Это позволяет руководству компании определить надежность ее текущих мер и методов обеспечения безопасности. Обычный вариант использования этой оценки — корпоративное слияние, когда основная компания хочет оценить кибербезопасность новой дочерней компании без ведома своей ИТ-команды.
В то время как тестирование на проникновение, как правило, лучше подходит для организаций, которые менее зрелы с точки зрения безопасности, Red Teams часто инициируются компаниями, у которых есть зрелые и четко определенные процессы и инфраструктура безопасности.
В заключение
Таким образом, три рассмотренных выше теста играют решающую роль в защите вашей ИТ-инфраструктуры от вредоносных атак, но их следует использовать в разных контекстах. Например:
- Тестирование на проникновение выявляет уязвимости, которые хакеры могут использовать в реальном мире, и доказывает их влияние конкретными доказательствами.
- Сканирование уязвимостей предоставляет обзор ваших неправильно настроенных и необновленных систем, а также общие уязвимости, связанные с каждой технологией.
- Моделирование Red Team определяет, насколько эффективно ваши системы, ИТ-персонал и меры безопасности будут реагировать на реальную атаку.
Каждая из этих оценок используется в процессе анализа кибер-рисков и может помочь вам определить, какие элементы управления лучше всего подходят для вашего бизнеса, а также какие передовые методы следует внедрить. Поэтому важно понимать различия между этими методами и объединять их в консолидированной стратегии управления рисками, чтобы эффективно использовать каждый из них. Это значительно снизит риск того, что злоумышленник скомпрометирует вашу систему, и максимально увеличит ваш бюджет на кибербезопасность.