Информационная безопасность (ИБ) – одно из ключевых направлений защиты бизнеса и головная боль для владельца любой компании. Это касается как частного бизнеса, так и государственных учреждений, частных лиц. Статистика показывает, что число кибератак растет год от года на десятки процентов. При этом заметно увеличивается число уникальных киберинцидентов, защититься от которых стандартным набором средств далеко не всегда возможно. В такой ситуации оптимальным способом проверки информационных активов на устойчивость и защищенность может быть тестирование на проникновение.
Преимущества тестирования на проникновение
Анализ защищенности в форме тестирования на проникновение выявляет уязвимости информационной системы компании, которой могут воспользоваться киберпреступники. Профессионально проведенная таким образом проверка дает в сжатые сроки ответы на основные вопросы, связанные с обеспечением информационной безопасности. Основные плюсы тестирования на проникновение:
-
подвергается оценке безопасность максимального числа и объема бизнес-процессов;
-
адресная либо полная проверка информационной системы – по желанию клиента;
-
высокая детализация обнаруженных уязвимостей;
-
оптимальное сочетание сроков и итоговых результатов;
-
высокая достоверность полученных результатов анализа защищенности.
Профессионально проведенное тестирование на проникновение дает понятные ответы владельцу компании о существующих проблемах и возможных рисках. В сочетании с рекомендациями аудиторов обычно все это ложится в основу обновленной Политики информационной безопасности бизнеса.
Инструментарий и подходы при тестировании на проникновение
Методология тестирования на проникновение определяется международными стандартами (OSSTMM, NIST SP800-115, ISSAF, PCI DSS и др.). Однако, постоянное совершенствование инструментов атак со стороны злоумышленников заставляет улучшать и изобретать новые способы защиты. Поэтому в арсенале профессиональных и опытных специалистов по тестированию на проникновение (пентестеров) должен быть как проверенный стандартный инструментарий, так и собственные наработки.
Пентестеры проверяют сразу несколько векторов возможной атаки:
-
приложения, включая клиентские и мобильные;
-
сети: Wi-Fi, Bluetooth, Wi-Max, IoT, IIoT;
-
сетевые атаки на ресурсы и протоколы;
-
социальная инженерия – атаки на пользователей корпоративной информационной инфраструктуры.
Отчет по результатам пентеста
Отчет по результатам тестирования на проникновения – основной документ, который предоставляется заказчику. Важно заранее обсудить структуру отчета и степень детализации предоставленной информации. Обычно документ содержит:
-
описание границ тестирования и примененных методов;
-
характеристику выявленных рисков и возможные сценарии проникновения, атак;
-
общее описание полученных в ходе пентеста результатов;
-
базовую оценку информационной безопасности объекта и отдельных процессов;
-
рекомендации по устранению уязвимостей, совершенствованию процессов в целом.
Качественный отчет обычно сопровождается презентацией с наглядной демонстрацией и приоритезацией выявленных уязвимостей и предлагаемым аудиторами планом действий. По сути, документы должны служить руководством к дальнейшим действиям заказчика.
Тестирование на проникновение – информативный, исчерпывающий и быстрый способ выявления существующих и возможных уязвимостей бизнеса. Кроме пентеста сущетсвуют также и другие способы выявить уязвимости, одним из которых является Аудит ИБ. Он позволяет ответить на конкретные вопросы заказчика, связанные с вопросами информационной безопасности, решить существующие проблемы и повысить уровень защиты от потенциальных киберугроз.
Аудит ИБ также позволяет добиться максимальной отдачи от вложенных в систему безопасности инвестиций. Он включает целый комплекс инструментов и средств. Чаще всего для анализа защищенности используют тесты на проникновение и сканеры защищенности.