Давайте начнем с основ, то есть с определения того, что такое тестирование на проникновение.
Тесты на проникновение — это проведение контролируемой атаки на ИТ-систему клиента. Какова цель? Оценить текущее состояние безопасности. Проверяется устойчивость ко взлому существующих средств безопасности для защиты от хакерских атак.
Тесты на проникновение можно разделить на три категории: «белый ящик», «серый ящик» и «черный ящик». Тесты «белым ящиком» проводятся с доступом ко всей необходимой информации о приложении, включая исходный код. «Серый ящик»— это тесты, в которых тестировщикам предоставляется доступ к тестовой среде и учетным записям пользователей, «черный ящик» — это вариант, при котором тестировщику предоставляется только адрес приложения.
Знают ли компании об опасности, которой они подвергаются? Или они часто удивлены результатами тестов?
Эти тесты предназначены для того, чтобы владельцы продукта знали об уровне его безопасности. Организации обращаются к специалистам по пентесту из необходимости проверить текущее состояние и убедиться, что все в порядке, прежде чем запускать продукт в производственную среду, к которой будут иметь доступ пользователи. Иногда клиент стремится провести тестирование в производственной среде, на живом организме. Однако чаще всего это тестовая среда, поскольку ее легче контролировать и, возможно, восстановить в случае каких-либо технических проблем, вызванных тестами. Пентест не несет никакого риска для непрерывности системы.
Часто бывает, что компании не знают о рисках, но случается и так, что система достаточно надежна и в ней нет критических ошибок, позволяющих получить несанкционированный доступ к данным. Это всегда стоит проверить. Тем более что действующие нормы требуют от организации проведения проверок, если она обрабатывает персональные данные.
Какую пользу может принести тестирование на проникновение?
Раннее обнаружение уязвимостей позволяет избежать последствий их использования в ходе хакерской атаки. Обнаружение и устранение уязвимостей на этапе предпроизводства, до того, как продукт станет доступен пользователям, позволяет избежать высоких затрат, связанных со штрафами, расходами на ремонт или простоем системы. Хороший имидж организации полностью сохраняется благодаря соответствующим мерам безопасности.
Существуют ли отрасли, где потребность в таких тестах возрастает?
Безусловно, банковское дело — это та категория бизнеса, которая в своей безопасности очень сильно опирается на ИТ-безопасность. Во всех крупных банках есть свои команды, отвечающие за безопасность и за проведение пентестов. Пентесты также рекомендуются их внешним поставщикам. Любые проблемы в системе безопасности в финансовых учреждениях негативно отражаются на их имидже.
Способствовала ли пандемия увеличению числа хакерских атак?
Блокировка и удаленная работа привели к повышению активности хакерских групп, которые нацелены на крупные организации. Хакеры проникают во внутреннюю сеть, блокируют, шифруют данные и требуют от компании выкуп. Эти типы атак возникают в результате доставки вредоносных программ по электронной почте. Каждая атака начинается с того, что неосведомленный пользователь открывает ссылку или загружает вложение. Утверждение о том, что люди являются самым слабым звеном в цепи безопасности ИТ-системы, настолько верно, насколько это вообще возможно. Осведомленность организаций в области киберугроз растет, но она все еще недостаточно высока по сравнению с масштабами этого явления.
Здесь стоит отметить, что хакерские группы не имеют ограничений по времени. Если у них есть время и ресурсы, они могут подготовить действительно продвинутую и точно направленную атаку.