Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Sign in to follow this  
chapoblan

Какво е пенетрейшън тест и имам ли нужда от такъв?

Recommended Posts

Днес решихме да обясним на кратко какво представлява пенетрейшън тестът и какви са нуждите на бизнеса да проверява периодично киберсигурността на своите мрежи, софтуер, сайтове и приложения.

По този начин ще отговорим на въпроса: Има ли нужда моята фирма от извършване на пенетрейшън тестове и защо?

Също така ще обърнем внимание и на една много важна подробност – как да изберем партньор, който да извърши пенетрейшън тестовете професионално, сигурно и надеждно.

Какво е пенетрейшън тест?

Съществуват множество различни начини на дефиниране на пенетрейшън тестовете, които се предлагат в момента на пазара на услугите за подобряване на киберсигурността. Често обаче извършването на пенетрейшън тест се бърка с провеждането на сканиране за уязвимости, с одит за съответствие или с оценка на сигурността, а пенетрейшън тестът се различава от тези услуги по няколко критични точки.

Пенетрейшън тестът не само разкрива уязвимости, но и прави следващата стъпка - активно експлоатира откритите уязвимости, за да докаже или опровергае реално възможна хакерска атака, насочена срещу IT структурата, данните, служителите или физическата сигурност на дадена организация.

Тъй като пенетрейшън тестът включва използването на автоматизирани системи и технологични рамки, фокусът му е върху киберспециалиста или екипа от тестери, които ще проведат тестването, което означава, че техните уменията и използвани средства са от огромно значение за резултата от активно провежданата атака срещу вашата организация. И специално маркираме важността на този момент, тъй като изборът на професионален екип от специалисти по киберсигурност реално засяга резултата от извършваните пенетрейшън тестове и съответно подобряването или не на вашата киберсигурност.

Дори вашите мрежи да са модерни, напълно автоматизирани, добре обезпечени и използващи сложни технологии за противодействие, те могат да бъдат уязвими чрез уникалната природа на човешкото съзнание, което може едновременно да анализира и синтезира, особено ако е въоръжено с мотив и цел.

Пенетрейшън тестът е в състояние да отговори на въпроса ви:

"Каква е реалната ефективност на нашия контрол на сигурността срещу реална атака от истински и опитен хакер?"

За сравнение можем да кажем, че за разлика от оценката на сигурността или одита за съответствие, които проверяват наличието на необходимия контрол и правилните му конфигурации, дори организация с доказана 100% съвместимост може да е уязвима в реалния свят от злонамерена атака от опитен хакер.

Пенетрейшън тестът представлява експлоатация на множество методи и опити за атака срещу една и съща цел. Често това представлява комбинация от информация или уязвимости на различните системи, която води до успешно компрометиране.

Съществуват редица примери за пенетрейшън тестове с ограничен обхват – тестване само на една цел чрез един метод, например, пенетрейшън тест на едно уеб приложение, проведен само от гледна точка на интернет браузъра. Тези резултатите обаче винаги трябва да се приемат с особени резерви, те могат да бъдат особено ценни, тъй като са полезни само и единствено в рамките на контекста, в които е проведен тестът. Или с други думи, ограничените обхват и използвани начини на пенетрейшън тестовете ограничават и целостта на изводите за реалния риск за киберсигурността ви.

Каква получавате от извършването на пенетрейшън тест?

Можем да изведем някои основни причини, поради които е важно да инвестирате в пенетрейшън тестове:

• Ще разберете какви са конкретните начини за атака срещу вас.

• Ще бъдат идентифицирани най-рисковите уязвимости, които са резултат от комбинирането на уязвимости от по-ниска степен, но експлоатирани в определена последователност.

• Идентифициране на уязвимости, които могат трудно или е абсолютно невъзможно да бъдат открити с автоматизирана мрежа или със софтуер за сканиране на уязвимости.

• Ще бъде направена оценка на мащаба на евентуалните щети, които може да понесе бизнесът ви от потенциално успешна хакерска атака.

• Ще бъде тествана способността на мрежовите администратори успешно да откриват и да реагират на атаките.

• Осигуряване на доказателства за необходимостта от повишаване на сигурността на технологиите и персонала с оглед на кибербезопасността на мениджмънта, инвеститорите и клиентите.

• Някои системи, например Payment Card Industry Data Security Standard (PCI DSS), изискват след всяка промяна, да бъдат извършвани годишни и периодични пенетрейшън тестове.

Ако вече сте претърпели пробив в киберсигурността ви, то е задължително да бъдат открити начините, които са били използвани, за да получат злонамерените хакери достъп до компрометираната система или мрежа. Успоредно с протичащото разследване на властите, често се провеждат и професионални пенетрейшън тестове, за да се пресъздадат начините, по които атаката е станала успешна. Това е сигурният начин да бъде въведен нов контрол на сигурността, който ще бъде в състояние да осуети подобна кибератака в бъдеще.

Както вече стана ясно, съществуват много причини за редовното провеждане на пенетрейшън тестове. Определянето на обхвата и характера на пенетрейшън тестовете в голяма степен зависи от специфичната дейност на всяка една организация, от която се определят и целите на извършваните тестове. Фирмената дейност също може да повлияе и върху други аспекти на проверката, като подбора на тестваните цели, предположенията, дори ограничаването на времето, за което екипът от киберспециалисти трябва да проучи дали е възможно да бъдат компрометирани активите на организацията клиент.

Ако една организация изпитва сериозни притеснения за сигурността на своята интелектуална собственост и иска да се погрижи за неутрализирането на реалния риск от атака от мотивирани и опитни хакери, то тогава в нейния бюджет е задължително да бъде заделена сума, която ще позволи редовното извършване на задълбочени тестове на нейната киберсигурност.

Кой е най-подходящият вид пенетрейшън тест за вашата организация?

Ако извършването на пенетрейшън тестове е задължително за вашата индустрия, в един момент можете да се изкушите да намерите много евтин автоматизиран пенетрейшън тест, след който до няколко дни ще получите доклад. И с това проверката да приключи.

Преди обаче да вземете подобно решение, трябва да имате предвид, че:

1. Въпреки че вече сте отделили средства за извършването на подобен пенетрейшън тест, той вероятно не е оценил реално и пълно ситуацията на риск за вашата киберсигурност, каквато оценка можете да получите единствено от реализирането на професионални и пълни пенетрейшън тестове.

2. Ако изберете да проведете бърз онлайн пенетрейшън тест и след това вашите системи и мрежи бъдат реално компрометирани, ще можете ли да защитите решението си пред своите партньори, клиенти и персонал, чиито данни и активи сте изложили на немотивиран риск? В крайна сметка, ако наистина сте загрижени за сигурността на хората, техните и вашите данни, то най-скъпо може да ви струва реалната заплаха от хакерска атака.

 

Докато изискванията за съответствие могат да бъдат необходимо зло, те всъщност не означават непременно сигурна среда. Виждали сме и всеки ден ставаме свидетели отново и отново на изпълняване на всички изисквания за съответствие, което коства много усилия, а понякога реалната оперативна сигурност не се оценява адекватно.

Ако просто се изпълняват правила, е много лесно да бъде забравено, че сигурността стои на първо място по важност. И че превенцията е много по-важна от поправянето на вече нанесени щети, които могат да ви костват милиони, или дори абсолютно всичко.

Така че единствено редовната проверка може да гарантира сигурността ви!

Share this post


Link to post
Share on other sites

Penetration testing (pentest) има от времето на баба ни и дядо ни... интересен факт е, че започва да се говори по-усилено чак през период 2016-2017г. Докато преди години бяхме малцина(в бг), които използвахме така наречения pentest хората в чужбина вече провеждаха курсове възлизащи на хил. лв.

Препоръчвам на всяка корпорация да се ориентира към външен Pentest специалист през тази година - очакват се интересни времена в И-нет мрежата.

@chapoblan , и двамата с теб знаем, че дори редовната проверка, може и да негарантира 100% сигурността - по-скоро въпроса е, кой е прави и дали знае какво прави? :) Поздравявам Ви, за идеята (форума).

П.С. Кефя се, че много през годините останаха в този занаят. Има стари кучета (познати username). Хубавото е, че се обединяваме в точните моменти.

Поздрави,

d1z.

 

Edited by d1z

Share this post


Link to post
Share on other sites

Няма как да се гарантира 100% сигурност и не вярвам да има някаква фирма, дори и най-големите в бранша, която да твърди обратното. Наистина е важно кой извършва тестовете. One-man-show "фирми" няма как да предоставят качествена услуга, но за жалост някои компании се подлъгват по евтините им цени и гръмките обещания по уебсайтовете, които обаче после им излизат доста солено.

Share this post


Link to post
Share on other sites

Както във всичко останало, което се развива. Цената обикновено (държа на "обикновено")  определя качеството.

 

Share this post


Link to post
Share on other sites

Изтрито съдържание от Модератор - nuclear bomb.

 

П.С: Потребителя получава бан от форума !

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.