News

Тестирование на проникновение и анализ защищенности

Как компании «честно» проверить уровень защищенности от киберрисков?

Прошло полтора год с момента начала пандемии и перехода компаний повсеместно на удалённую работу сотрудников. «Удаленка» заставила многие компании серьезно модернизировать свою ИТ-инфраструктуру и повысила значимость обеспечения кибербезопасности компаний. Для быстрой проверки уровня защищенности компаний стали еще более востребованы экспресс-аудиты кибербезопасности и тесты на проникновение. Что же является причиной популярности таких проектов, что делает эти проекты такими эффективными, какие риски позволяют предупредить? Об этом и об особенностях нашего подхода к их проведению я постараюсь рассказать в статье.

Немного подробнее о рисках

Пандемия COVID-19 и рецессия экономики привели к серьезным проблемам бизнеса и косвенно стимулировали рост внутреннего и внешнего мошенничества — активность киберзлоумышленников, по статистическим данным возросла более чем в 4 раза.

В период изоляции многие компании перешли к работе в режиме удаленного доступа сотрудников к данным, что само по себе является небезопасным способом подключения для неподготовленных ИТ инфраструктур. При такой организации работы чаще происходят утечки информации, вирусные атаки, возможен доступ к конфиденциальным данным со стороны хакеров, легче осуществить промышленный шпионаж. Нередкими становятся обращения о хищении денежных средств, все эти и другие инциденты приводят к нарушению слаженной работы компании. Кроме того, изменение внешнего периметра сети, требует запуска новых приложений и сервисов для удаленной работы, и как следствие может привести к утечке данных при их передаче по незащищенным каналам связи. Несанкционированный доступ и кражаконфиденциальной информации может также происходить в связи с небезопасной конфигурацией устройств, сервисов и программного обеспечения. Ниже можно увидеть распределение долей по типам векторов атак от общего количества вторжений в ИТ инфраструктуры компаний.


Как оценить угрозы и снизить риски для бизнеса?

Первое с чего нужно начать — это понять, в каком состоянии находится информационная безопасность компании на данный момент. Насколько ваша сеть защищена, можно ли в нее проникнуть извне, и насколько корректны настройкибезопасности внутри?
Именно на эти практические вопросы помогают ответить тесты на проникновение. Итоговые отчеты по результатам проектов показывают все уязвимые места, а самые критичные уязвимости возможно закрыть сразу же после обнаружения, не ожидая завершения проекта.

О чем говорят итоги пентестирования?

Проведение пентеста дает возможность выполнить «честную» проверку реального состояния защищенности вашей компании, используемых средств защиты и грамотность их настройки. Хороший отчет по результатам проекта должен содержать как минимум следующую информацию:
  • детальное описание всех выявленных уязвимостей с указанием уровня их критичности;
  • рекомендации по устранению уязвимостей с указанием приоритетов;
  • рекомендации по проведению дополнительных исследований и внедрению средств защиты информации.

Кроме того, независимая оценка защищенности является одним из требований стандартов безопасности (Compliance: ISO 27 001, PCI DSS, GDPR, 152-ФЗ, требования Банка России, КИИ и др.) и служит конкурентным преимуществом в глазах ваших клиентов и партнеров.

Анализируя наш опыт, можно с уверенностью сказать, что уровень защищенности корпоративной инфраструктуры большинства компаний от целенаправленной атаки со стороны как внешнего, так и внутреннего злоумышленника, достаточно низкий. Зачастую самые элементарные эшелоны защиты отсутствуют, наглядный пример, статистика использования небезопасных паролей


В компаниях, в которых не обеспечены эффективный мониторинг событий ИБ и реагирование на выявленные инциденты, нарушитель может не только получить контроль над ключевыми системами, но и проводить атаки, нацеленные на компрометацию данных.
Поэтому мы рекомендуем регулярно проводить тестирование на проникновение и тренинги как для сотрудников — неспециалистов в рамках курсов кибергигиены, так и для сотрудников ИБ в рамках «red teaming». Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реально кибератаки, проверить эффективность используемых средств защиты и мониторинга.

Какие преимущества имеет проект с проведением пентеста:
  • Демонстрация реальных сценариев атаки на вашу корпоративную сеть.
  • Конфиденциальность результатов и целостность вашей ИТ-инфраструктуры.
  • Рекомендации по повышению безопасности от независимых экспертов в области кибербезопасности.
  • Соответствие всем нормам законодательства и требованиям регуляторов (Compliance).
  • Возможность софинансирования проекта в рамках программы Майкрософт — Solution Assessment.

Ссылки на материалы, используемые в тексте:
Статистические данные компании Positive Technologies — https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/#id2
Статистические данные компании Positive Technologies — https://www.ptsecurity.com/ru-ru/research/analytics/
Интернет журнал «Директор по безопасности» — https://www.s-director.ru/