Существует несколько видов аудита ИТ-безопасности: одни касаются организационных аспектов, другие — технического анализа, третьи — тестов на проникновение.
Все эти аспекты дополняют друг друга, чтобы как можно лучше проанализировать уровень безопасности организации.
Технический анализ (аудит «белого ящика»)
Этот подход заключается в оценке уровня кибербезопасности организации путем анализа выбранной архитектуры, используемых технологий, установленных средств защиты, конфигурации или деталей кода и т.д.
Технический анализ ИТ-инфраструктуры потребует посещения объекта для наблюдения за архитектурой сети, изучения различных периферийных устройств и анализа их конфигурации.
Технический анализ программного обеспечения или приложения потребует восстановления исходного кода для его детального изучения.
Тестирование на проникновение (аудит «черного ящика» или «серого ящика»)
Этот подход предполагает проведение атак на компьютерный объект с целью использования уязвимостей. Аудитор по информационной безопасности, проводящий тест на проникновение, не имеет всей технической информации об объекте проверки: в одних случаях он/она ведет себя как внешний злоумышленник, в других — как вредоносный пользователь.
Тест на проникновение в ИТ-инфраструктуру обычно требует выезда на место, но с ограниченным доступом к сети компании. Аудитор может действовать как простой посетитель, чтобы проверить возможность доступа к сети (Wi-Fi или проводной). Он также может выступать в роли стажера, имеющего доступ к электронному почтовому ящику и минимальный уровень прав внутреннего пользователя.
Тест на проникновение в программное обеспечение или приложение обычно проводится удаленно, нацеливаясь на публичные интерфейсы (веб-приложение, API и т.д.) или на интерфейсы, доступные пользователям (из учетной записи с логином/паролем или, по крайней мере, с доступом к интерфейсу подключения, если программное обеспечение доступно во внутренней сети).
Технический анализ или тест на проникновение: какой подход выбрать?
Для проведения аудита информационной безопасности некоторым компаниям приходится делать выбор между этими двумя взаимодополняющими подходами, хотя бы по бюджетным соображениям.
Преимущество аудита безопасности «белого ящика» заключается в том, что он является более полным: аудитор безопасности имеет доступ к максимальному объему информации, что позволяет ему идти дальше в обнаружении слабых мест и уязвимостей. Бюджет, как правило, выше, чем при проведении теста на проникновение.
Преимущество тестирования на проникновение с методами «черный ящик» или «серый ящик» заключается в выявлении вполне конкретных рисков: аудитор безопасности ведет себя как внешний злоумышленник (в случае аудита безопасности «черный ящик») или как злонамеренный пользователь (в случае аудита безопасности «серый ящик»). Таким образом, выявленные уязвимости представляют собой реальные риски для компании. Бюджет варьируется в зависимости от объема и условий проведения теста на проникновение, но обычно он ниже, чем для аудита безопасности «белого ящика».
Зачем проводить аудит безопасности ИТ?
Проведению аудита безопасности способствуют несколько условий.
- Аудит информационной безопасности, или аудит кибербезопасности, является частью лучших практик по защите компании в условиях участившихся кибератак.
- Необходимо получить определенные сертификаты в области информационной безопасности (ISO-27001, PCI-DSS и т.д.).
- Это может быть рекомендовано после проведения аудита качества, чтобы укрепить процессы и безопасность компании. Также настоятельно рекомендуется пройти процедуру соответствия требованиям RGPD.
- Этого требует определенное количество клиентов или партнеров в отношениях BtoB. В частности, это касается тестов на проникновение, поскольку ключевые клиенты могут потребовать предоставить им отчет о пентесте.
- Наконец, для компании, которая растет и инвестирует, это стратегическая инвестиция для обеспечения безопасности бизнеса. А для компании, подвергшейся кибератаке, это возможность повысить уровень безопасности для защиты от других кибератак.
Как продвинуться дальше?
Проведение надлежащего аудита безопасности требует привлечения третьей стороны.
Существуют различные компании, специализирующиеся на проведении аудита безопасности ИТ. Это самостоятельная профессия, существенно отличающаяся от других профессий в области ИТ-безопасности. Для проведения качественного аудита безопасности необходимы опыт и ноу-хау.
Чтобы подготовиться к обсуждению с поставщиком услуг, вы можете составить набор спецификаций, определяющих контекст ваших потребностей, а также технический объем и тип желаемого вмешательства. Точная спецификация позволит поставщику услуг быстро составить подробное предложение.