Вислів «не можна вчитися бігати, не навчившись ходити» ми вперше чуємо мало не в дитинстві, але по-справжньому усвідомлюємо лише спробувавши опанувати високорівневі навички раніше, ніж основи. У кібербезпеці це помітно особливо чітко. Становлення вашої системи управління вразливостями — це процес, який має бути побудований вдумливо, бо лише заклавши надійний фундамент, слід переходити на наступний рівень. 

Тестування на проникнення, або пентест, останніми роками стає все більш поширеним. Як наслідок, у організацій виникає неправильне уявлення, що проактивні стратегії захисту починаються саме з цього. За допомогою пентестингу можна визначати слабкі місця в операційних системах, сервісах та програмах: від неправильних конфігурацій до ризикованої поведінки користувачів.
Однак, щоб отримати максимальну користь від ваших пентестів, спочатку необхідно використовувати інші інструменти та методи. У цьому блозі ми розглянемо, що саме потрібно зробити перед запуском першого пентесту.

Організаційні передумови застосування пентестингу

У безперервному потоці новин про кібератаки не доводиться думати про те, що саме вас це омине. Це приводить до того, що безпека стає головним пріоритетом більшості організацій. Посада директора з інформаційної безпеки стає частою і бажаною роллю в компанії, адже такі фахівці роблять великий внесок в еволюцію бізнес-процесів, інформаційну безпеку, захист даних, покращуючи загальну ефективність та результативність.
Організації з керівництвом, орієнтованим на безпеку, мають набагато більше шансів побудувати системи безпеки такої зрілості, щоб еволюційним шляхом дійти до пентестингу.

Якими навичками та характеристиками має володіти команда безпеки?

Безпека часто зароджується в уже сформованому бізнесі, тобто глобальне завдання фахівців — впровадити новий процес у вже наявні, розвиваючи його і приносячи користь.
Ручне тестування та пошук слабких місць в ІТ-інфраструктурі — важлива частина стратегії безпеки, та це не єдине завдання команди безпеки. Важливо правильно оцінити, чи є у вашої команди все необхідне для проведення пентесту.
Враховуйте такі критерії:
● Масштаби. Розмір вашої команди певною мірою є пропорційним до розміру компанії, але навіть у компактному бізнесі команда з кількох фахівців навряд чи додасть пентестинг у меню. Здебільшого, вам знадобиться команда середнього або великого розміру, щоб мати достатню пропускну здатність для проведення власних оцінок безпеки. ● Навички. Невеликі команди зазвичай мають більш загальні ролі, які можуть охоплювати широкий спектр стандартних завдань із безпеки. Зі зростанням груп безпеки, до них залучаються фахівці, які зосередяться на більш вузьких завданнях безпеки, таких як мережева безпека або управління вразливостями. Це також свідчить про те, що ваша система виявлення вразливостей досить пропрацьована, щоб мати структуровану стратегію, яка може містити проактивні методи захисту. Оскільки існує багато видів фахівців, може знадобитися обговорення, щоб визначити, яку роль слід виконувати насамперед. Хоча пентестери зазвичай виконують ключову роль, їх відсутність у штаті не заважає вам проводити пентести. ● Стратегія. Як працює ваша служба безпеки? На початковому етапі більшість груп безпеки концентруються на простому, але важливому: підтримці ключових вузлів безпеки та збереженні можливостей для виявлення та реагування. Тестування на проникнення найкраще працює як частина ширшої безпекової стратегії, яка здатна знижувати ризики зломів і атак до того, як це зроблять зловмисники. Немає сенсу знати про ваші слабкі місця в системі безпеки, якщо ви не в змозі їх виправити. Коли ви зосереджені винятково на « гасінні пожеж», чітка структура і підхід будуть набагато кориснішими, ніж дорогі технології та переповнені відділи.

Які рішення можуть вам допомогти?

Тестування на проникнення — це відмінний спосіб краще зрозуміти, які вразливості безпеки наражають вас на найбільший ризик. Проте, процес виправлення потребує часу, тому важливо мати готові рішення у відповідь, щоб відразу ж забезпечити виправлення. Наприклад, брандмауери та антивіруси можуть допомогти зменшити збитки від потенційної вразливості шляхом виявлення та створення додаткових перешкод.
З проактивного боку, рішення для управління вразливостями на кшталт Frontline VM ідеально підходять для отримання детальної картини вразливостей, що існують у вашому середовищі. Оскільки вони можуть бути цілком автоматизовані та прості у використанні, такі інструменти дозволяють часто запускати сканування, щоб інформація про інфраструктуру залишалася актуальною. Рішення для управління вразливостями також є ідеальним мостом до інструментів тестування на проникнення, оскільки вони можуть часто працювати разом. Наприклад, за допомогою інструментів для пентестингу Core Impact, дані сканування вразливостей можуть бути завантажені та перевірені для пріорітезації ризиків.

Що ж вибрати: пентестинг за допомогою рішень чи компаній на аутсорсі?

Тільки-но ви вирішите, що готові до пентестингу, перед вами постане інше питання: використовувати послуги, рішення, чи те й інше? Навіть якщо ви достатньо розвинули свою систему безпеки для перевірки на проникнення, є різниця між проведенням пентесту самостійно та третьою стороною.
Звичайно, пентестер на аутсорсі може виконувати складні тести та забезпечувати об'єктивне, оригінальне та експертне уявлення про вашу систему безпеки. Однак, групи тестування на проникнення можуть бути і всередині компанії. Це можливо в тому випадку, коли організації мають можливість інвестувати в свою програму управління вразливостями.
Багато організацій застосовують пентестинг без повного штату необхідних спеціалістів. Автоматизовані інструменти пентестингу ідеально підходять для початкових тестів проникнення, оскільки можуть використовуватися фахівцями без широкого досвіду.
Безумовно, пентестери на аутсорсі можуть проводити нескладні тести на проникнення, які потім повторюватимуться вже всередині організації. Проте організаціям слід обов'язково ретельно вивчити постачальників таких послуг та інструменти, які вони використовують.

Удосконалюйте свою систему безпеки у правильному темпі

Побудова системи управління вразливостями — це не перегони: спробувавши «зрізати» ви радше заблукаєте, ніж фінішуєте першими. Насправді, поспішаючи додати більш зрілі методи, такі як тестування на проникнення та Red Team, без команди та стратегії ви просто не зможете ефективно усувати виявлені проблеми.
Визначивши, де ви перебуваєте на шляху до побудови ефективної стратегії безпеки, ви зможете краще планувати наступні кроки, а також впроваджувати та бачити результати від такого рішення, як тестування на проникнення.


Дізнайтеся також, як обрати ефективний інструмент для пентестингу ⇨