«Ми вжили належних заходів обережності, і я вірю, що ми добре захищені». Це часто вимовлене речення створює помилкове відчуття безпеки. Хоча багато компаній інвестували в кібербезпеку, вони лише в надзвичайних ситуаціях з’ясовують, чи справді стійкість безпеки забезпечує те, що вона обіцяє в усіх сферах. Оцінка вразливості ІТ-безпеки та тести на проникнення важливі як ніколи.
Дослідження, подібні нинішньому Звіт Sophos про загрози показують, що, незважаючи на всі зусилля, у кіберзлочинців все ще є забагато лазівок. Майже 50 відсотків усіх проаналізованих випадків зловмисного програмного забезпечення стосуються малих і середніх компаній, а 90 відсотків усіх кібератак стосуються крадіжки даних або особистих даних. Пізніше кіберзлочинці використовують цю викрадену інформацію для подальших дій, таких як несанкціонований віддалений доступ, вимагання чи встановлення програм-вимагачів. Крім того, незахищені пристрої IoT часто є воротами для кіберзлочинців.
Невиявлені вразливості в ІТ-інфраструктурі
Проблема рідко полягає в рішеннях безпеки, а скоріше в нерозпізнаних уразливостях в ІТ-інфраструктурі, які неможливо захистити без чіткої ідентифікації. Тому важливі регулярні оцінки вразливості та тести на проникнення. Тільки вони забезпечують надійний зворотний зв'язок про фактичний стан безпеки та кіберстійкості в компанії.
Оцінка вразливості та тестування на проникнення мають різні цілі. Згідно з NIST, оцінки вразливості забезпечують «формальний опис і оцінку вразливостей інформаційної системи», тоді як тестування на проникнення використовує методологію, «за якою аудитори, зазвичай працюючи в умовах певних обмежень, намагаються обійти або подолати функції безпеки системи». Лише результати обох заходів надають компаніям інформацію про наявні ризики та дозволяють зробити висновки щодо того, які пріоритети слід визначити для усунення цих ризиків.
Частота обох заходів залежить від ІТ-поведінки компанії та правових норм (наприклад, індустрія платіжних карток). Компанії з низькими технологічними флуктуаціями (наприклад, зміни коду, оновлення апаратного забезпечення, зміни персоналу, зміни топології тощо) не можуть обійтися без тестування, але з меншою частотою. Організації, які зазнають значних технологічних змін, підвищують свою кіберстійкість завдяки частішому тестуванню.
Етапи оцінки вразливості та тестування на проникнення
🔎 Коментар від Джона Шиера, технічного директора з комерційних питань Sophos (Зображення: Sophos).
Проведення оцінки вразливості та тестування на проникнення включає 12 ключових кроків - від виявлення до оцінки до виправлення та остаточного звіту:
- Визначення обсягу: Чітко визначте обсяг, включаючи системи, мережі та програми, які підлягають тестуванню, а також будь-які конкретні цілі чи завдання.
- Розвідка: Збір інформації про цільові системи, мережі та програми за допомогою пасивних засобів, таких як загальнодоступна інформація та методи соціальної інженерії.
- Сканування вразливостей: Використання автоматизованих інструментів для перевірки цільових систем на відомі вразливості, неправильні конфігурації та слабкі місця. Це може включати як внутрішнє, так і зовнішнє сканування.
- Оцінка вразливості: Аналізуйте результати сканування вразливостей, щоб визначити та визначити пріоритетність уразливостей на основі серйозності, впливу та ймовірності використання.
- Ручні тести: Проведіть тестування вручну, щоб підтвердити та перевірити результати автоматизованого сканування та виявити додаткові вразливості, не виявлені автоматизованими інструментами.
- Тестування на проникнення: Активне використання вразливостей для оцінки стану безпеки цільових систем, мереж і програм. Можна використовувати різні техніки, напр. B. експлуатація мережі, атаки на веб-додатки та соціальна інженерія.
- Після експлуатації: Після встановлення точки опори в цільовому середовищі проводиться подальше дослідження та збільшуються привілеї, щоб визначити ступінь потенційної шкоди, яку може завдати справжній зловмисник.
- Документація: Зберіть і узагальніть усі висновки, включаючи виявлені вразливості, використані методи експлуатації та будь-які рекомендації щодо виправлення чи пом’якшення.
- Звітність: Створіть повний звіт як для співробітників служби безпеки, так і для керівництва з результатами оцінки, включаючи короткий виклад, технічні деталі вразливостей, оцінки ризиків і рекомендації щодо виправлення або пом’якшення.
- План усунення несправностей: Встановіть пріоритети та сплануйте заходи щодо виправлення ситуації на основі результатів оцінки, а також стійкості до ризику та бізнес-пріоритетів організації.
- Повторна оцінка: Проведіть подальшу оцінку, щоб переконатися, що вразливості було ефективно усунено, і переконатися, що рівень безпеки систем, мереж і програм компанії покращився.
- Постійний моніторинг: Впроваджуйте регулярні процеси моніторингу та тестування, щоб виявляти та усувати нові вразливості безпеки, щойно вони виникають.
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.