Пентест как адаптация к ИБ-реальности

Отмечается рост активности вымогательских группировок по всему миру, вследствие чего организации вынуждены предпринимать серьезные меры для защиты своих данных и систем. По данным StormWall, общее количество атак во II квартале 2024 года в России выросло на 74% по сравнению с аналогичным периодом 2023 года. При этом каждая вторая успешная атака на организации в I полугодии 2024 года привела к утечке конфиденциальных данных, отмечают в Positive Technologies, наибольшее число таких инцидентов пришлось на госучреждения (13%), IT-компании (12%) и промышленные предприятия (11%).

Одним из наиболее эффективных методов, позволяющих оперативно выявить слабые места в системе защиты организации и вовремя их устранить, считается пентест (penetration test) или тестирование на проникновение.

Он позволяет получить объективную и независимую оценку текущего уровня защищенности от атак со стороны внешнего нарушителя и получить рекомендации по усилению защиты.

Максим Деев, технический директор ARinteg, рассказал о том, как пентест помогает адаптироваться к ИБ-реальности, и дал ряд практических советов.

Недавно один из наших клиентов с переходом на новое место работы первое, что сделал — заказал у нас пентест. Он возглавил направление информационной безопасности (ИБ) и ему важно было обладать всесторонней информацией о реальном положении дел с ИБ в компании, включая какие есть средства защиты, как они настроены, эффективно ли отрабатывают события.

Получить эту информацию можно либо от старой команды, из документации либо, проведя пентест. Поскольку есть опасения, что представители старой команды всего не расскажут, чтобы не бросать тень на свою работу в предыдущие годы, и далеко не все будет отражено в документации, если только внедрение того или иного средства защиты не проходило с привлечением системного интегратора и сопровождалось проектной документацией.

В этом случае выручит пентест, поскольку все интересующие системы будут протестированы, подготовлен подробнейший отчет с рекомендациями по усилению средств защиты, оптимизации настроек, какие СЗИ стоит приобрести с тем, чтобы закрыть обнаруженные с помощью пентеста уязвимости и повысить уровень защищенности. 

В результате пентест позволил ему:

• объективно оценить существующие средства защиты и их настройки;
• определить, насколько эффективно они справляются с задачами;
• разработать стратегию дальнейшего развития ИБ в компании.

Почему пентест стал неотъемлемой частью ИБ-стратегии

Пентест представляет собой имитацию реальной хакерской атаки на информационные системы компании, чтобы выявить уязвимости и пробелы в системе защиты для их своевременного устранения.

Регулярное проведение пентестов позволяет:

1. оценить эффективность текущих мер безопасности;
2. сформировать план по улучшению ИБ: по результатам пентеста выдаются рекомендации по усилению системы безопасности, оптимизации настроек и установке новых СЗИ;
3. поддерживать высокий уровень ИБ в условиях усиления киберугроз, чтобы быть на шаг впереди злоумышленников.

В последние годы спрос на пентесты неуклонно растет. Если раньше к ним прибегали, как правило, финансовые организации, поскольку для них это требование регулятора, то сегодня все больше компаний из различных отраслей понимают важность этого инструмента и проводят пентесты на постоянной основе. Полученный в ходе подобной проверки отчет воспринимается ими как руководство к действию, который используется для реального улучшения ИБ. Тестирование на проникновение становится неотъемлемой частью best practices, важным элементом ИБ-стратегии для многих компаний.

Практические советы

Выбирая команду пентеста, примите во внимание навыки и опыт исполнителей, их квалификацию, подтвержденную сертификатами, опытом работы в вашей отрасли. Запрашивайте рекомендации, «миксуйте» экспертов, это позволит обеспечить всестороннюю проверку прочности ваших киберграниц. Только отдавая предпочтение высококвалифицированным специалистам, можно быть уверенным в качестве работ.

Следующий шаг — четко определить цели и объем тестирования. Оно может охватывать различные аспекты информационной безопасности, будь то веб-приложения или корпоративная сеть, поэтому необходимо точно понимать, что именно должно быть протестировано и какие результаты ожидаете получить.

Проводить пентесты следует не только тогда, когда этого требует регулятор, но и в других случаях (провели обновление, внедрили новые сервисы или собираетесь это сделать, разработали новый продукт и т.д.), чтобы избежать непредвиденных проблем в будущем.

При этом стоит помнить о внутренних угрозах и проводить пентесты не только для внешних систем, но и для внутренних процессов и сетей, чтобы обеспечить комплексную безопасность компании.

Полученные в результате такого исследования данные могут стать также отличным инструментом для повышения киберграмотности сотрудников. Используйте результаты тестирования, чтобы проводить обучающие сессии и подготовить коллектив к возможным реальным атакам.

Настраивайтесь на регулярные пентесты. Внедрение новых систем, изменения в инфраструктуре и появление новых угроз обуславливают необходимость регулярного тестирования и корректировки существующих мер защиты.

Будущее пентестов

Понимание, что кибератаки — уже не гипотетическая угроза, а реальность, стимулирует компании к проведению пентестов и улучшению своих ИБ-мер. Полагаю, что востребованность пентестов будет только расти, поскольку они позволяют компаниям лучше адаптироваться к новым вызовам и угрозам.