Пентестинг — это метод этического взлома, который заключается в проверке уязвимости компьютерной системы, приложения или веб-сайта путем обнаружения недостатков, которые могут быть использованы хакером или вредоносным программным обеспечением.
Пентестирование может проводиться автоматически с помощью программных приложений или вручную пентестером. Какой бы вариант ни был выбран, различные этапы этой стратегии основаны на выявлении точек уязвимости и попытке проникнуть в ядро системы, тем самым получая ключевую информацию для улучшения кибербезопасности.
ПЕНТЕСТ ПРОТИВ АУДИТА БЕЗОПАСНОСТИ: ТЕХНИЧЕСКИЙ ИЛИ ФУНКЦИОНАЛЬНЫЙ ПОДХОД
Аудит безопасности следует отличать от пентеста. Речь идет не о том, что тестировщик ставит себя на место профессионального хакера, а о проведении глубокого исследования информационной системы клиента, основанного на общении с ИТ-командой и анализе технической документации. Он позволяет определить потенциальные недостатки, не прогнозируя, действительно ли они могут быть использованы. Поэтому этот метод не позволяет предусмотреть сценарии и соответствующим образом скорректировать политику безопасности.
Также аудит может быть использован для поддержки спецификаций ИТ-подразделений при создании или перепроектировании ИТ-системы. Однако аудит безопасности не защищает компанию от экономических последствий атаки. Он не обеспечивает контекстуального решения для консолидации или усиления действующей стратегии безопасности прагматичным способом.
ПОНЯТИЕ РИСКОВ БЕЗОПАСНОСТИ
Целью безопасности в широком смысле является покрытие совокупности рисков. Каждый риск должен быть оценен в соответствии с отраслью компании и ее личными интересами. Понятие рисков определяется в 3 этапа:
- Выявление рисков для компании с точки зрения «бизнеса». Пример: невозможность продать или доставить продукт для компании, занимающейся электронной коммерцией;
- Перевести бизнес-риски в ИТ-риски;
- Перевод ИТ-рисков в риски кибербезопасности.
ПЕНТЕСТИНГ — ОПЕРАТИВНЫЙ ОТВЕТ ДЛЯ ВАШЕГО ПОДХОДА SSI
В области безопасности существует три способа устранения рисков:
- Принятие риска;
- Снижение риска;
- Мониторинг рисков.
Эти три метода дополняют друг друга. Четвертый cспособ — заключить договор страхования рисков кибербезопасности. Его стоимость обычно индексируется в зависимости от уровня покрытия рисков компании.
Цель теста на проникновение заключается не в составлении списка уязвимостей системы, а в формализации прагматичного плана действий, включающего технические, организационные, операционные и человеческие рекомендации.
ЭЛЕМЕНТЫ ХОРОШЕГО АУДИТОРСКОГО ОТЧЕТА
Хороший аудиторский отчет должен содержать три элемента
- Перечень обнаруженных уязвимостей: эти уязвимости должны быть контекстуализированы (возможность использования, критичность, местоположение и т.д.), в соответствии со знаниями клиента об ИБ и финансовыми ставками;
- План действий с оперативной призмой. Рекомендации аудитора должны быть прагматичными, учитывающими бюджет клиента и его возможности по решению проблем. Этот этап свидетельствует о добавленной стоимости аудитора. Чем опытнее аудитор в реализации такого плана действий, тем более реалистичными будут рекомендации;
- Управленческое резюме. Цель — раскрыть риски кибербезопасности через призму бизнес-задач клиента. Это резюме может подчеркнуть сложность устранения уязвимостей, чтобы руководство осознало, какие инвестиции необходимо сделать.
Вывод
Хотя пентестирование является одним из рычагов оптимизации безопасности ИТ-системы, оно не является самоцелью. Это эффективный инструмент, который формируется на основе глобального подхода с участием всех заинтересованных сторон ИБ. Пентестинг следует рассматривать как момент конструктивного обмена между аудируемыми и аудиторами. Для компании тест на проникновение — это возможность получить объективное мнение от внешнего эксперта. Он должен всегда накладывать обнаружение уязвимостей на эффективный план действий, учитывающий операционную реальность и бизнес-риски компании.
Пентестинг — это дисциплина, которая будет развиваться благодаря новым технологиям, основанным на искусственном интеллекте, и благодаря появлению передовых инструментов распознавания и эксплуатации уязвимостей. Однако, несмотря на автоматизацию некоторых задач, дополнительная ценность аудитора по-прежнему будет заключаться в его способности составлять отчеты и персонализированные рекомендации.
