Как ваш ИТ-отдел может получить максимальную отдачу от тестирования на проникновение
Когда мы готовимся провести тестирование на проникновение, то очень быстро получаем представление о том, как работает местный ИТ-персонал. Иногда нас встречают как члена команды, приходящего на определенный период времени. А бывает, что к нам относятся очень похоже на приглашенных аудиторов и предоставляют только минимальные ресурсы, необходимые для выполнения нашей задачи.
Конечно, можно понять оба подхода к приглашенным на место специалистам по пентестингу; Для некоторых мы проводим аудит усилий команды по созданию безопасной сети, а для других — для подтверждения того, что их работа была выполнена на самом высоком уровне.
Пентестеры не должны судить
Важно отметить, что мы не рассматриваем недостатки сетевой безопасности как ошибку ИТ-команды. Мы понимаем, что в компании существует множество переменных, таких как: нехватка ресурсов, риски безопасности, которые часто принимаются как часть программы избегания затрат, и иногда команда не обязательно знает о потенциальной проблеме, поскольку она находится за пределами их сферы компетенции. В любом случае, незащищенность сети не является признаком профессиональной неудачи, но почти всегда является признаком нехватки ресурсов для обеспечения идеального решения.
Отношение №1: Мы рады, что вы здесь
Как и любой отдел, ИТ-команда должна выполнять свою работу как можно лучше в рамках выделенного бюджета, при этом доводя информацию о последствиях этих решений до вышестоящего руководства, которое может не всегда понимать угрозы. Иногда это создает ситуацию, когда местная ИТ-команда будет очень заинтересована в том, чтобы указать на проблемы в своих собственных системах, потому что они хотят убедиться, что они включены в отчет, чтобы подчеркнуть риски, которые они представляют. Пентестеру, работать с такими командами очень приятно, потому что они явно хотят отмечать риски и быть уверенными, что бизнес осведомлен об угрозах и последствиях.
Отношение №2: Мы бы предпочли, чтобы вас здесь не было
И наоборот, некоторые ИТ-команды разрешают провести тестирование, но не предлагают помощь, считая, что это лучше имитирует «настоящего злоумышленника». Такой подход может быть более реалистичным для злоумышленника, но, к сожалению, нам, как консультантам, редко предоставляется время, необходимое для полного моделирования методологии злоумышленника. Глубокое знание собственных систем у ИТ-команд может действительно ускорить процесс и гарантировать, что ничего не будет упущено, что даст время для углубления в пограничные случаи и предоставит время для профессионального обмена мнениями.
Результаты тестирования на проникновение
Независимо от того, как нас принимают, результатом работы является констатация обнаруженных проблем и рисков. Один из вопросов, который нам неоднократно задавали клиенты, заключается в том, что если мы можем определить риски, почему мы не устраняем их в рамках консалтинга? И это один из секретов работы тестировщика на проникновение. Мы можем определить риски, мы можем понять, как возникает риск, и мы можем дать совет, как следует решить вопрос. Но часто мы не знакомы с администрированием продуктов, задействованных в реализации этих изменений. Со временем мы, конечно, сможем это понять, но это неэффективное использование ресурсов. Что еще более важно, нам не хватает понимания бизнеса, которым обладает местная ИТ-команда, и их опыта работы с используемыми продуктами.
4 совета, как получить максимальную отдачу от тестирования на проникновение
Воинственный подход между «нами» и «ними» неэффективен, потому что, в конечном счете, когда пентестер завершит работу, именно местная команда будет внедрять решения, повышающие безопасность сети. По этой причине, совместная работа по объяснению ИТ-отделу в чем заключаются проблемы, позволяет им убедиться, что их решение решает проблему и позволяет бизнесу извлечь выгоду из экспертов по конкретным продуктам, которых они нанимают.
1. Проинструктируйте свою ИТ-команду – Нет ничего хуже, чем быть ошеломленным внешним пентестером, пришедшим проверить безопасность сети. Информирование о том, когда, почему и как гарантирует, что все стороны готовы к совместной работе.
2. Прислушивайтесь к мнению своей ИТ-команды – Ваша ИТ-команда находится на месте и может предоставить глубокие знания об используемых системах и продуктах. При предоставлении объема консультаций по тестированию на проникновение работа с вашей ИТ-командой для этого гарантирует, что будут проанализированы правильные области.
3. Следуйте рекомендациям вашего пентестера — уязвимости, обнаруженные во время тестирования на проникновение, независимо от критичности, дают злоумышленникам возможность получить доступ к вашей сети. Поэтому важно как можно скорее принять меры по исправлению положения.
4. Проводите тестирование на проникновение не реже одного раза в год или после каждого значительного изменения – Угрозы постоянно меняются, потому что хакеры всегда ищут новые способы получить доступ к сети. Подобно ежегодному техосмотру вашего автомобиля, регулярный тест на проникновение будет поддерживать ваши сети в исправном состоянии.
Чем может помочь CleanTalk?
Тестирование на проникновение является важным элементом снижения рисков от киберпреступлений. Наши опытные специалисты по тестированию на проникновение работали в различных отраслях и находили уязвимости, которые можно легко пропустить в веб-приложениях и ИТ-инфраструктуре. Наша команда также может помочь вашей организации обеспечить безопасную настройку ее систем.
Помогите своему ИТ-отделу обезопасить свой бизнес и свяжитесь с нами, чтобы обсудить, как мы можем упростить этот процесс.
ООО "Клинтолк", Россия, г. Челябинск, ул. Труда, д. 174, оф №3