Фразу «нельзя учиться бегать, не научившись ходить» мы впервые слышим чуть ли не в детстве, но по-настоящему осознаем лишь попытавшись освоить продвинутый навык раньше основ. В кибербезопасности это видно особенно четко. Становление вашей системы управления уязвимостями это процесс, который должен быть выполнен вдумчиво — лишь заложив надлежащий фундамент следует переходить на следующий уровень.

Тестирование на проникновение, или же пентест, в последние годы становится все более распространенным. Как следствие, у организаций возникает неправильное представление о том, что проактивные стратегии защиты начинаются именно с этого. При помощи пентестинга можно определять слабые места в операционных системах, сервисах и приложениях: от неправильных конфигураций до рискованного поведения пользователей.
Однако, чтобы получить максимальную отдачу от ваших пентестов, сначала необходимо использовать другие инструменты и методы. В этом блоге мы рассмотрим, что именно нужно сделать перед запуском вашего первого пентеста.

Организационные предпосылки для внедрения пентестинга

В непрерывном потоке новостей о кибератаках не приходится думать о том, что конкретно вас это не коснется. Это приводит к тому, что безопасность становится главным приоритетом большинства организаций. Должность директора по информационной безопасности становится частой и желаемой ролью в компании, ведь такие специалисты вносят в большой вклад в эволюцию бизнес-процессов, информационную безопасность, защиту данных, улучшая общую эффективность и результативность.
Организации с руководством, ориентированным на безопасность, имеют куда больше шансов построить системы безопасности такой зрелости, чтобы эволюционным путем прийти к пентестингу.

Какими навыками и характеристиками должна обладать команда безопасности?

Безопасность часто зарождается в уже сформировавшемся бизнесе, то есть глобальная задача специалистов — внедрить новый процесс в существующие, развивая его и принося пользу.
Ручное тестирование и поиск слабых мест в IT–инфраструктуре, будучи важной частью стратегии безопасности, не является единственной задачей команды безопасности. Важно правильно оценить, есть ли у вашей команды все необходимое для проведения пентеста.
Учитывайте следующие критерии:
● Масштабы. Размер вашей команды в какой-то мере пропорционален размеру компании, но даже в компактном бизнесе команда из нескольких специалистов вряд ли добавит пентестинг в меню. Как правило, вам понадобится команда среднего или крупного размера, чтобы иметь достаточно пропускной способности для проведения собственных оценок безопасности. ● Навыки. Небольшие команды, как правило, имеют более общие роли, которые могут охватывать широкий спектр стандартных задач по обеспечению безопасности. По мере роста групп безопасности к ним привлекаются специалисты, которые сосредоточатся на более узких задачах безопасности, таких как сетевая безопасность или управление уязвимостями. Это также свидетельствует о том, что ваша система выявления уязвимостей достаточно проработана, чтобы иметь более структурированную стратегию, которая может включать проактивные методы защиты. Поскольку существует так много типов специалистов, может потребоваться обсуждение, чтобы определить, какую роль следует выполнять в первую очередь. Хотя пентестеры обычно выполняют ключевую роль, отсутствие их в штате не мешает вам проводить пентесты. ● Стратегия. Как работает ваша служба безопасности? На начальном этапе большинство групп безопасности концентрируются на простом, но важном: поддержке ключевых узлов безопасности и сохранении возможностей для обнаружения и реагирования. Тестирование на проникновение лучше всего работает как часть более широкой стратегии безопасности, которая способна снижать риски взломов и атак до того, как это сделают злоумышленники. Нет смысла знать о ваших слабых местах в системе безопасности, если вы не в состоянии их исправить. Когда вы сосредоточены исключительно на « тушении пожаров », грамотная структура и правильный подход будут куда полезнее дорогих технологий и переполненных отделов.

Какие решения могут вам помочь?

Тестирование на проникновение — это отличный способ лучше понять, какие уязвимости безопасности подвергают вас наибольшему риску. Тем не менее, процесс исправления требует времени, поэтому важно иметь готовые ответные решения, чтобы сразу же обеспечить исправление. Например, брандмауэры и антивирусы могут помочь уменьшить ущерб от потенциальной уязвимости за счет обнаружения и создания дополнительных препятствий.
С проактивной стороны, решения для управления уязвимостями вроде Frontline VM идеально подходят, чтобы получить подробную картину уязвимостей, существующих в вашей среде. Поскольку они могут быть полностью автоматизированы и просты в использовании, такие инструменты имеют возможность часто запускать сканирование, чтобы информация об инфраструктуре оставалась актуальной. Решения для управления уязвимостями также являются идеальным мостом к инструментам тестирования на проникновение, поскольку они могут часто работать вместе. Например, с помощью инструментов для пентестинга Core Impact, данные сканирования уязвимостей могут быть загружены и проверены для приоритизации рисков.

Что же выбрать: пентестинг при помощи решений или компаний на аутсорсе?

Как только вы решили, что готовы к пентестингу, перед вами встанет другой вопрос: использовать услуги, решения, или и то, и другое? Даже если вы достаточно продвинули свою систему безопасности для проверки на проникновение, есть разница между проведением пентеста самостоятельно и третьей стороной.
Конечно, пентестер на аутсорсе может выполнять сложные тесты и предоставлять объективное, оригинальное и экспертное представление о вашей системе безопасности. Однако, группы тестирования на проникновение могут быть и внутри компании. Это возможно в том случае, когда у организаций есть возможность инвестировать в свою программу управления уязвимостями.
Многие организации используют пентестинг без полного штата необходимых специалистов. Автоматизированные инструменты пентестинга идеально подходят для начальных тестов на проникновение, поскольку могут использоваться специалистами без широкого опыта.
Безусловно, пентестеры на аутсорсе могут проводить несложные тесты на проникновение, которые потом будут повторяться уже внутри организации. Но тем не менее, организациям следует обязательно тщательно изучить поставщиков таких услуг и инструменты, которые они используют.

Совершенствуйте свою систему безопасности в правильном темпе

Построение системы управления уязвимостями не гонка — попытавшись «срезать» вы скорее заблудитесь, чем придете к финишу первыми. На самом деле, торопясь добавить более зрелые методы, такие как тестирование на проникновение и Red Team без команды и стратегии, вы просто не сможете эффективно устранять обнаруженные проблемы.
Определив, где вы находитесь на пути к построению эффективной стратегии безопасности вы сможете лучше планировать следующие шаги, а также внедрять и видеть результаты от такого решения, как тестирование на проникновение.

Узнайте также, как выбрать эффективный инструмент для пентестинга ⇨