Многие компании хоть и стараются серьезно относиться к безопасности обрабатываемой информации, но часто возлагают ответственность за эту задачу на одного человека — администратора ИТ-систем (или на группу администраторов ИТ-систем.).
При нынешнем технологическом прогрессе и появлении все новых и новых решений мы не можем рассчитывать на то, что системный администратор, действующий в одиночку, не допустит ошибки, что он, например, не упустит важный элемент конфигурации. Даже если во время внедрения нового инструмента мы воспользовались профессиональной помощью его поставщика, не следует забывать, что после внедрения безопасность не будет действовать вечно.
Долгосрочных решений не существует хотя бы потому, что мы не в состоянии предвидеть новые угрозы и уязвимости, которые часто требуют совсем иного подхода. Обеспечение безопасности данных — это постоянный процесс, который требует не только обширных знаний, но и времени от тех, кто этим занимается.
Идеальным решением для проверки безопасности являются так называемые тесты на проникновение (пентест).
Что такое пентест?
Тест на проникновение — это контролируемая атака на ИТ-систему. Такой тест может быть проведен как специализированной внешней компанией, так и с помощью собственных человеческих ресурсов. Его основная цель — выявить самые большие уязвимости, присутствующие в проверяемой области, и, как следствие, найти решение, которое позволит эффективно устранить данную уязвимость или минимизировать риск ее использования потенциальным злоумышленником.
Часто оказывается, что такие уязвимости возникают не только из-за неправильной конфигурации системы, уязвимости программного или аппаратного обеспечения, но и из-за неадекватных процедур или недостаточной осведомленности персонала. Поэтому в дополнение к тестированию на проникновение стоит включить тестирование физической безопасности или социотехническое тестирование.
Что нужно учитывать перед проведением тестов на проникновение?
Прежде чем принять решение о привлечении внешней компании для проведения тестов на проникновение, стоит определить, в какой именно услуге заинтересована наша организация. Это связано с тем, что тесты могут быть выполнены:
- за пределами организации — тогда обслуживание обычно осуществляется с уровня глобальной сети, что наилучшим образом отразит возможную атаку со стороны пользователя Интернета, например, хакера или конкурирующей компании;
- внутри организации — в этом случае услуга выполняется с использованием доступа к локальной сети организации, так как это наилучшим образом отразит безопасность ее данных с уровня сотрудника или лица, уже получившего доступ к сети компании.
Нужно учесть дни и время проведения тестирования. В крайних случаях деятельность, осуществляемая специалистами по проверке безопасности, может привести к перебоям в работе критически важного для бизнеса сервиса. Подумайте, следует ли проводить проверку в рабочее время, днем или ночью, а может быть и в выходные дни. Позаботьтесь о создании полной защитной копии используемых систем, поскольку могут возникнуть непредвиденные ситуации.
Тесты безопасности также можно разделить по их «глубине», перечислим несколько их типов:
- черный ящик — так называемый «взгляд со стороны». Его реализация предполагает отсутствие у злоумышленника каких-либо предварительных знаний об атакуемом объекте. Пентестеры начинают со сбора базовой информации об организации, а затем постепенно используют данные, которые им удалось получить. Несомненно, недостатком такого теста является то, что его проведение занимает больше времени и, следовательно, стоит дороже. Однако давление со стороны клиента с целью снижения цены может привести к низкой точности при выполнении теста. Преимущество этого решения заключается в том, что с помощью теста «черного ящика» мы моделируем наиболее вероятную атаку злоумышленника на организацию;
- белый ящик — так называемый взгляд изнутри. Это тип теста, в котором пентестерам предоставляется набор интересующей их информации до начала атаки. Испытание «белого ящика» обычно более точное, менее трудоемкое и дорогостоящее, чем «черный ящик», но имитирует менее вероятный сценарий вторжения.
Помимо выбора места, типа проводимого теста и назначения даты, организация должна спланировать точную цель, например, часть инфраструктуры, состоящую из определенных серверов, сервисов или приложений. Еще одним важным вопросом является решение об информировании сотрудников о том, что проводится имитация атаки. С помощью пентеста организация может проверить, как работают принятые процедуры и реальную реакцию сотрудников и систем на угрозу.
Как часто проводить тесты на проникновение?
Рекомендуется установить порядок действий в этом отношении и проводить испытания через определенные и регулярные промежутки времени, чем чаще они проводятся, тем лучше. Промежуток времени оказывает большое влияние на достоверность результата.
Как убедить руководство в необходимости проведения пентестов?
Самой большой проблемой в убеждении организации проводить тесты на проникновение является низкая осведомленность руководства о возможных угрозах и ценности обрабатываемой информации. Обычно обескураживает тот факт, что профессиональные услуги такого рода не относятся к числу самых дешевых. Однако давайте попробуем донести до руководства, что безопасность — это процесс, который требует регулярного контроля, а периодические пентесты — это не лишние затраты, а инвестиции в будущее.