Легальный, «белый» хакинг – идея не новая, однако в большинстве компаний среднего и даже крупного звена к ней прибегают не так уж часто. Преимущественно этому способствует слабая осведомленность о явлении. Чтобы исправить это, сегодня мы поговорим о назначении этичного хакинга и расскажем, почему сейчас он как никогда актуален.
Для начала, разберемся с основным термином статьи – Pentest (пентест). Так обозначают тестирование на проникновение в цифровую инфраструктуру компании, а представляет из себя он набор разнообразных методов взлома с целью изучения уязвимостей защитных систем заказчика. Масса различных подходов к этому процессу позволяет атакующему комплексно проверить все элементы, от уровня подготовки рядовых сотрудников компании до скорости реагирования отдела ИБ на появление угрозы.
Кому это нужно?
Как правило, именно крупные компании прибегают к услугам хакера – так как, соответственно, обладают большим объемом ценных данных и сильнее зависят от гладкого функционирования и всех элементов цифрового механизма. У таких фирм, как правило, достаточно внушительная и продуманная система информационной безопасности, с разнообразными программными продуктами – и клиентскими, и внутренними корпоративными, и, порой, даже мобильными (например, приложения банков). Но если банки имеют законодательную обязанность проводить подобные проверки, то для крупного бизнеса и госкорпораций других направлений проверки по-прежнему остаются добровольным решением. Инфобезопасность, еще с начала пандемии показывающая стабильный рост интереса в связи с тотальным переходом на удаленную работу, после февральский событий стала едва ли не главной темой в сфере ИТ, однако на самом пентесте сказалась слабо – о нем, по-прежнему, говорят не так уж много, что сказывается и на потребителях, на самом деле, порядком нуждающихся в таких услугах.
Казалось бы, зачем, имея собственный ИБ-отдел, тратить средства и время на пентест? Однако сотрудники службы безопасности, хорошо знающие, как работает система, будут сосредотачивать свое внимание преимущественно на известных им слабостях, рискуя пропустить «слепые пятна» в, казалось бы, хорошо защищенных, неподозрительных областях.
Как это работает?
После приглашения специалиста или группы этичных хакеров, заказчик и исполнитель определяются с тем, что требуется проверить в первую очередь. Чаще всего приоритеты проектов по пентесту в компаниях выглядят следующим образом: внешний пентест, социо-технический пентест, внутренний пентест.
Внешний периметр компаний всегда находился и сейчас находится под постоянным вниманием со стороны злоумышленником. Происходят регулярные сканирования на уязвимости всего интернета в поисках легких точек входа. Поэтому защита внешнего периметра всегда будет первостепенной задачей компании, услуги по внешнему пентесту – наиболее популярны.
Если же периметр пробит, и злоумышленник попал во внутреннюю сеть компании, то, согласно усредненной статистике и особо печальным кейсам, около 80% атак закончатся полной компрометацией сети заказчика.
По статистике большинство успешных нарушений периметра начинаются с удачной социо-технической атаки, например рассылки вредоносных писем. В таком случае одна ошибка сотрудника может позволить злоумышленнику попасть во внутреннюю сеть. Именно поэтому в последние годы возросла популярность социо-технических тестирований на проникновение, а также программы обучения сотрудников основам информационной безопасности.
Наконец, внутренний пентест направлен на оценку поведения сотрудников – насколько хорошо они противостоят искушению открыть фишинговое письмо, к примеру, и сколько урона может причинить «обиженный» сотрудник. Внутренний пентест - имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий какие-то личные счеты по отношению к руководству. Зачастую сотрудники ИБ-отдела компании могут «замылить глаз» на ежедневных задачах и забыть оповестить коллег из других отделов о новых типах угроз или сделать напоминание о техниках цифровой гигиены во время работы. Взгляд со стороны, в данном случае, взгляд специалиста по проникновениям, может спасти компанию от атаки, своевременно обновив бдительность всех участников обнаружением внезапной бреши.
Какие есть преимущества?
Неоспоримый и главный плюс – беспрецедентная экономия финансов. Вместо перебора десятка новых решений в попытке защититься от всего и сразу, по результатам пентеста достаточно будет внедрить всего одно, а, возможно, и вовсе только обновить/доработать имеющееся.
Еще один повод пустить хакера в свою компанию – это возможность проверить, насколько легко злоумышленники могут добраться до ценных данных. Очевидно, что после успешной атаки настоящие кибермошенники могут потребовать некомфортно большие суммы выкупа за украденные данные, и далеко не всегда даже после выплаты готовы их вернуть – информация легко может быть уничтожена или повреждена в процессе шифровки. Таким образом, своевременный пентест – это страховка фирмы от непредвиденных расходов в дальнейшем.
Выводы
Определившись, нужен ли конкретно вашей компании опыт пентеста, в случае согласия можно сэкономить деньги и время. И, конечно, стоит помнить о том, что за конкретными продуктами для устранения обнаруженных дыр в защите стоит обратиться за профессиональной помощью – например, воспользовавшись услугами системных интеграторов, имеющих опыт работы с областью информационной безопасности и сотрудничающих с ведущими производителями решений в ИБ. В каждом случае решения подбираются индивидуально и с полным погружением в условия предприятия.
Это интересно
0
|
|||
Комментарии временно отключены