Пентест как процесс

Аудит в ИБ Ростелеком

556 просмотры

0 0

Пентест как процесс.
Юлия Воронова.
Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.

На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».
Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.
Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.

Пентест как процесс.

Юлия Воронова.

Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.

На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».

Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.

Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.