Любая организация может стать объектом кибератаки, например, через программы-вымогатели, которые шифруют данные в рамках попытки вымогательства. Эта форма кибератаки широко распространена: вместо того, чтобы нацелиться на конкретную компанию, злоумышленники просто ждут, в какой организации их фишинговое письмо достигнет своей цели. Пентестеры могут проводить тесты на проникновение, чтобы проверить уязвимости. Но многие организации, как частные, так и государственные, уклоняются от затрат на пентестинг. Однако единственный способ выявить как можно больше направлений атак и убрать их до того, как киберпреступники смогут ими воспользоваться, это соответствующее пентестирование.
Ниже несколько аргументов, которые помогут вам понять необходимость пентестинга.
Аргумент 1: пентестирование выявляет уязвимости безопасности
Распорядители бюджета компании не всегда понимают, что их команда ИТ-администраторов нуждается в поддержке кибербезопасности. Иногда руководство считает, что пентесты — это то, что администраторы смогут сделать самостоятельно. Они не смогут. Для этого есть веские причины. Задача ИТ-администрирования — обеспечить бесперебойную работу ИТ в организации. Опыт этичных хакеров по своей природе противоположен: они ищут способы, которые могут позволить разрушить корпоративные системы. Более того, кибербезопасность и этичный взлом — это области знаний, которые очень быстро меняются и развиваются.
Аргумент 2: анализ машинного кода
В то время как ИТ-администраторы имеют дело с операционным уровнем программного обеспечения, этичные хакеры имеют дело с программным кодом. При необходимости пентестеры также применяют обратную разработку, в ходе которой они анализируют программные файлы во время выполнения и наблюдают за их поведением. Конечно, это требует понимания двоичного или машинного кода программы. Администраторы обычно не могут этого сделать, поскольку это даже не входит в их компетенцию. Таким образом, этичные хакеры могут найти недокументированные функциональные возможности, которые не были предусмотрены, но представляют собой потенциальные векторы атак. Это могут быть, например, методы тестирования, которые разработчик программного обеспечения использовал для отладки и по ошибке оставил в программе.
Аргумент 3: внутренняя «Read team» может снизить затраты
Однако если компания достаточно крупная, возможно, стоит организовать этический взлом своими силами. Для этого компания создает собственную специальную команду Red Team для проведения более или менее непрерывных пентестов. Нападающим в составе «красной команды» часто противостоит специальная «синяя команда» с защитниками. Для создания собственной «красной команды» компании обычно приходится нанимать не менее двух-трех пентестеров на полный рабочий день. В долгосрочной перспективе внутренняя «красная команда», вероятно, является более экономически эффективным решением с точки зрения этичного взлома в крупных организациях. Однако у этого аргумента есть недостаток: рано или поздно внутренняя «красная команда» будет ослеплена или истощит ресурс на выявление уязвимостей. Преимущество внешних этических хакеров обычно заключается в том, что они привносят свежий взгляд на пентестинг — в виде ценного опыта работы в многочисленных компаниях и организациях с разнообразными ИТ-структурами.
Аргумент 4: пентесты должны быть де-табуированы
В некоторых компаниях до сих пор существует тенденция табуирования пентестинга. Существуют опасения, что факт того, что компания вообще проводит такие тесты, может стать достоянием общественности и повредить ее имиджу. Окружение темы кибербезопасности табу нисколько не помогает компании. Напротив: в эпоху всеобщей цифровизации ИТ-безопасность — это вызов, с которым сталкиваются все, от средних производителей оборудования до таких ИТ-гигантов, как Google. Демонстрация того, что вы надлежащим образом решаете проблему ИТ-безопасности, помогает вашему имиджу гораздо больше, чем вредит ему. С помощью этичного взлома организация демонстрирует свою волю к укреплению киберустойчивости.
Аргумент 5: правильно составленные пентесты работают
Выбор в пользу проверки безопасности с помощью этичного взлома в любом случае является положительным сигналом. Однако необходимо тщательно продумать структуру теста. При выборе подходящих пентестеров рекомендуется не только смотреть на их теоретические сертификаты, но и уделять особое внимание их практическому опыту. Также важно не ограничивать объем тестирования искусственно, например, исключая унаследованные системы. В конце концов, ни одному злоумышленнику не придет в голову исключать унаследованные системы, которые все еще работают как потенциальные векторы атак, скорее наоборот. Кроме того, пентесты должны выбирать между подходами «белого ящика» и «черного ящика». В первом случае этичные хакеры уже имеют в своем распоряжении информацию, данные или исходные коды. Такое тестирование рекомендуется, например, если нужно определить безопасность совершенно нового приложения. С другой стороны, подход «черного ящика» может быть целесообразен при проведении независимых тестов, если область применения уже была тщательно проверена в рамках процедуры «белого ящика» и организация уже приняла соответствующие меры безопасности. Между этими двумя крайностями, конечно, возможны самые разные градации.