Враг зад портите
В древността и Средновековието всекидневно за триумфа на една военна акция се съди от завземането на някоя основна цитадела или надлежно несполучливата й блокада. Твърдините обаче се изграждали на труднодостъпни места и при сериозна опозиция нападателите рискували да претърпят обилни загуби. Затова в доста случаи разликата сред сполучливата и несполучливата акция давало знанието за скритите уязвимости на отбранителните уреди.
С дигитализацията на публичните връзки и бизнеса през последното десетилетие фирмите постоянно се оказват в ролята на едновремешните бранители във връзка с осведомителната сигурност - подложени на непрекъсната блокада от многочислен и добре въоръжен съперник. За разлика от тях обаче периметърът, който би трябвало да пазят актуалните бранители в цифровото пространство, е доста по-голям, а заканите - доста по-разнопосочни и сложни. Едно от главните оръжия, което би могло да наклони везните в тяхна изгода, е пенетрейшън пробата (Penetration test) - способ за оценка на сигурността на компютърни системи и мрежи посредством преструване на офанзиви от злонамерени външни или вътрешни на организацията лица.
Пенетрейшън пробата (Penetration test) е способ за оценка на сигурността на компютърни системи и мрежи посредством преструване на офанзиви от злонамерени външни или вътрешни на организацията лица.
" Тази активност се концентрира върху откриването на избран вид уязвимости и недостатъци в дадена система или мрежа, както и върху разбора на опциите те да бъдат употребявани с избрана цел и какъв би бил резултатът от това върху целостта, конфиденциалността и наличността на информацията и рисковете за организацията. Това е комплицирана задача, която влиза в детайлите на тестваната технология, а триумфът й зависи съответно от опциите на индивида, който я прави ", изяснява инструкторът по осведомителна сигурност и Chief Strategy Officer на компанията за киберсигурност Amatas Борис Гончаров.
Според 2021 Penetration Testing Report на американска компания за компютърна и мрежова сигурност Core Security by HelpSystems 74% от фирмите правят пенетрейшън проби по отношение на стратегии за ръководство на уязвимостите, 73% - за премерване на общите равнища на сигурност на организацията, а 70% - с цел да си подсигуряват сходство със законодателните условия. Рисковете, които фирмите желаят да минимализират благодарение на този модел, също са разнопосочни. На първо място респондентите в проучването слагат неправилната настройка на мрежи и системи (80%), следвана от фишинг заканите (79%), слабите пароли (60%), неизползваните сметки (31%) и загубата или кражбата на устройства (29%). Широкият набор от проблеми, който обгръщат пенетрейшън тестванията, обаче трансформират този вид услуги в комплицирани за осъществяване, а повърхностният метод към тях ускорява киберрисковете пред организациите.
Оценката на уязвимостите не е задоволителна
Най-често правената неточност е слагането на знак за тъждество сред оценката на уязвимостите и пенетрейшън тестванията. " Често пенетрейшън тестванията се бъркат с разнообразни типове разбори на сигурността като оценката на уязвимостите. Тя е обособен детайл от цялостната тактика за киберсигурност, като главната й концепция е да открие съществуването на добре познати уязвимости, които са били разпознати към този момент, има оповестена информация за тях, има схващане за техните характерности и има инструкции по какъв начин те да бъдат лимитирани. Това е общоприет развой, който би трябвало да се случва регулярно и непрестанно в една организация, само че не може да бъде еквивалент на пенетрейшън теста ", предизвестява Борис Гончаров.
В същото време оценката на уязвимостите не дава информация по отношение на това по какъв метод може да бъдат употребявани откритите уязвимости, какъв би могъл да бъде последващият резултат от тяхното потребление, какви данни могат да бъдат достигнати и какво би означавало това за активността на организацията. Този сложен взор може да бъде реализиран само посредством пенетрейшън тест. " При него могат да се открият уязвимости, които сами по себе си не са техническа уязвимост, а са свързани с метода, по който се управляват процесите и е построена цялостната система или мрежа. С други думи, един пенетрейшън тест надалеч надвишава детайла на инспекция ", безапелационен е инструкторът по осведомителна сигурност и обръща особено внимание, че потреблението единствено на автоматизирани принадлежности, присъщи за процеса по оценка на уязвимостите, заплашва да сътвори лъжливо чувство за сигурност на една организация, " защото те са доста надалеч от опциите на експертите във връзка с разбора и разбирането на огромната картина ".
Често пенетрейшън тестванията се бъркат с разнообразни типове разбори на сигурността като оценката на уязвимостите. Тя е обособен детайл от цялостната тактика за киберсигурност, като главната й концепция е да открие съществуването на добре познати уязвимости, които са били разпознати към този момент, има оповестена информация за тях, има схващане за техните характерности и има инструкции по какъв начин те да бъдат лимитирани.
" Едновременно с това има доста хора, които оферират услуги за пенетрейшън проби, само че в действителност не схващат технологията, която тестват, нито механиката на самия развой по тестване. Те употребяват някакъв инструмент, извършват някаква команда, тя резултира в нещо и то след това се показва като последна оценка. Често сходен вид осъществявания по-скоро вредят на организациите, в сравнение с да им оказват помощ ", счита Борис Гончаров.
Това неизбежно повдига въпроса какво би трябвало да имат поради организациите при избора на снабдител на услуги за пенетрейшън проби.
Източници: 2021 Penetration Testing Report на Core Security by HelpSystems Penetration Testing Services Procurement Guide на CREST Прогнози на Cybersecurity Ventures Четено Коментирано Препоръчвано 1 Политика 2 Вечерни вести 3 Вечерни вести 1 Политика 2 Компании 3 Коментари и разбори 1 Политика 2 Компании 3 Лица Който го може, го може
Анализ на водещата изследователска компания Cybersecurity Ventures сочи, че към края на 2021 година в областта на киберсигурността в световен мащаб има 3.5 милиона незаети работни места. В това число разумно попадат и експертите в областта на пенетрейшън тестванията. Според 2021 Penetration Testing Report едвам 56% от фирмите разчитат на вътрешни екипи, до момента в който 36% в никакъв случай не са разполагали с такива, а 8% от респондентите дават отговор, че в миналото са имали, само че са се отказали от тази процедура . Попитани за какво нямат сходни звена в организацията си, цели 36% показват като съществена причина неналичието на гений. " Истински приключените експерти са огромна необичайност като експертиза в световен мащаб. В това поле казусът с фрагментите е голям, защото въпросният експерт, с цел да тества една система, би трябвало да е наясно по какъв начин действа тя, какъв е софтуерният стак, който се употребява, а не просто да разчита на някакъв инструмент и да показа резултатите от неговата инспекция. " Отглеждането " на вътрешни експерти постоянно е по-добър вид, защото организациите имат цялостен надзор над тях, само че построяването на сходна експертиза изисква години образование и непрекъснато повишение на квалификацията, а в доста случаи ресурсите са лимитирани ", разяснява Борис Гончаров.
Затова и фирмите постоянно прибягват до услугите на трети страни, сблъсквайки се с въпроса на каква база да създадат своя избор на снабдител. От световната сертифицираща организация CREST дават отговор: " Два от най-важните критерии, които би трябвало да се вземат поради, са репутацията и историята на доставчика и етичното държание, което той възприема и постанова ", а Борис Гончаров прибавя: " Сертификациите са добра изходна точка, само че съществуването им или неналичието им не могат да бъдат основа за оценката на един експерт. Има доста хора, които нямат нито един документ, а са доста положителни експерти. Те просто не имат вяра в сертификацията. Това е различен вид мислене. По-важен аршин са предходните изпълнени планове върху даден вид технология и съществуването на противоположна връзка от клиенти. "
Но в случай че при избора на снабдител на услуги за пенетрейшън проби постоянно ще има голям брой въпросителни, то няма подозрение, че в случай че има нещо по-опасно от зложелател пред портите, е врагът зад тях.
С дигитализацията на публичните връзки и бизнеса през последното десетилетие фирмите постоянно се оказват в ролята на едновремешните бранители във връзка с осведомителната сигурност - подложени на непрекъсната блокада от многочислен и добре въоръжен съперник. За разлика от тях обаче периметърът, който би трябвало да пазят актуалните бранители в цифровото пространство, е доста по-голям, а заканите - доста по-разнопосочни и сложни. Едно от главните оръжия, което би могло да наклони везните в тяхна изгода, е пенетрейшън пробата (Penetration test) - способ за оценка на сигурността на компютърни системи и мрежи посредством преструване на офанзиви от злонамерени външни или вътрешни на организацията лица.
Пенетрейшън пробата (Penetration test) е способ за оценка на сигурността на компютърни системи и мрежи посредством преструване на офанзиви от злонамерени външни или вътрешни на организацията лица.
" Тази активност се концентрира върху откриването на избран вид уязвимости и недостатъци в дадена система или мрежа, както и върху разбора на опциите те да бъдат употребявани с избрана цел и какъв би бил резултатът от това върху целостта, конфиденциалността и наличността на информацията и рисковете за организацията. Това е комплицирана задача, която влиза в детайлите на тестваната технология, а триумфът й зависи съответно от опциите на индивида, който я прави ", изяснява инструкторът по осведомителна сигурност и Chief Strategy Officer на компанията за киберсигурност Amatas Борис Гончаров.
Според 2021 Penetration Testing Report на американска компания за компютърна и мрежова сигурност Core Security by HelpSystems 74% от фирмите правят пенетрейшън проби по отношение на стратегии за ръководство на уязвимостите, 73% - за премерване на общите равнища на сигурност на организацията, а 70% - с цел да си подсигуряват сходство със законодателните условия. Рисковете, които фирмите желаят да минимализират благодарение на този модел, също са разнопосочни. На първо място респондентите в проучването слагат неправилната настройка на мрежи и системи (80%), следвана от фишинг заканите (79%), слабите пароли (60%), неизползваните сметки (31%) и загубата или кражбата на устройства (29%). Широкият набор от проблеми, който обгръщат пенетрейшън тестванията, обаче трансформират този вид услуги в комплицирани за осъществяване, а повърхностният метод към тях ускорява киберрисковете пред организациите.
Оценката на уязвимостите не е задоволителна
Най-често правената неточност е слагането на знак за тъждество сред оценката на уязвимостите и пенетрейшън тестванията. " Често пенетрейшън тестванията се бъркат с разнообразни типове разбори на сигурността като оценката на уязвимостите. Тя е обособен детайл от цялостната тактика за киберсигурност, като главната й концепция е да открие съществуването на добре познати уязвимости, които са били разпознати към този момент, има оповестена информация за тях, има схващане за техните характерности и има инструкции по какъв начин те да бъдат лимитирани. Това е общоприет развой, който би трябвало да се случва регулярно и непрестанно в една организация, само че не може да бъде еквивалент на пенетрейшън теста ", предизвестява Борис Гончаров.
В същото време оценката на уязвимостите не дава информация по отношение на това по какъв метод може да бъдат употребявани откритите уязвимости, какъв би могъл да бъде последващият резултат от тяхното потребление, какви данни могат да бъдат достигнати и какво би означавало това за активността на организацията. Този сложен взор може да бъде реализиран само посредством пенетрейшън тест. " При него могат да се открият уязвимости, които сами по себе си не са техническа уязвимост, а са свързани с метода, по който се управляват процесите и е построена цялостната система или мрежа. С други думи, един пенетрейшън тест надалеч надвишава детайла на инспекция ", безапелационен е инструкторът по осведомителна сигурност и обръща особено внимание, че потреблението единствено на автоматизирани принадлежности, присъщи за процеса по оценка на уязвимостите, заплашва да сътвори лъжливо чувство за сигурност на една организация, " защото те са доста надалеч от опциите на експертите във връзка с разбора и разбирането на огромната картина ".
Често пенетрейшън тестванията се бъркат с разнообразни типове разбори на сигурността като оценката на уязвимостите. Тя е обособен детайл от цялостната тактика за киберсигурност, като главната й концепция е да открие съществуването на добре познати уязвимости, които са били разпознати към този момент, има оповестена информация за тях, има схващане за техните характерности и има инструкции по какъв начин те да бъдат лимитирани.
" Едновременно с това има доста хора, които оферират услуги за пенетрейшън проби, само че в действителност не схващат технологията, която тестват, нито механиката на самия развой по тестване. Те употребяват някакъв инструмент, извършват някаква команда, тя резултира в нещо и то след това се показва като последна оценка. Често сходен вид осъществявания по-скоро вредят на организациите, в сравнение с да им оказват помощ ", счита Борис Гончаров.
Това неизбежно повдига въпроса какво би трябвало да имат поради организациите при избора на снабдител на услуги за пенетрейшън проби.
Източници: 2021 Penetration Testing Report на Core Security by HelpSystems Penetration Testing Services Procurement Guide на CREST Прогнози на Cybersecurity Ventures Четено Коментирано Препоръчвано 1 Политика 2 Вечерни вести 3 Вечерни вести 1 Политика 2 Компании 3 Коментари и разбори 1 Политика 2 Компании 3 Лица Който го може, го може
Анализ на водещата изследователска компания Cybersecurity Ventures сочи, че към края на 2021 година в областта на киберсигурността в световен мащаб има 3.5 милиона незаети работни места. В това число разумно попадат и експертите в областта на пенетрейшън тестванията. Според 2021 Penetration Testing Report едвам 56% от фирмите разчитат на вътрешни екипи, до момента в който 36% в никакъв случай не са разполагали с такива, а 8% от респондентите дават отговор, че в миналото са имали, само че са се отказали от тази процедура . Попитани за какво нямат сходни звена в организацията си, цели 36% показват като съществена причина неналичието на гений. " Истински приключените експерти са огромна необичайност като експертиза в световен мащаб. В това поле казусът с фрагментите е голям, защото въпросният експерт, с цел да тества една система, би трябвало да е наясно по какъв начин действа тя, какъв е софтуерният стак, който се употребява, а не просто да разчита на някакъв инструмент и да показа резултатите от неговата инспекция. " Отглеждането " на вътрешни експерти постоянно е по-добър вид, защото организациите имат цялостен надзор над тях, само че построяването на сходна експертиза изисква години образование и непрекъснато повишение на квалификацията, а в доста случаи ресурсите са лимитирани ", разяснява Борис Гончаров.
Затова и фирмите постоянно прибягват до услугите на трети страни, сблъсквайки се с въпроса на каква база да създадат своя избор на снабдител. От световната сертифицираща организация CREST дават отговор: " Два от най-важните критерии, които би трябвало да се вземат поради, са репутацията и историята на доставчика и етичното държание, което той възприема и постанова ", а Борис Гончаров прибавя: " Сертификациите са добра изходна точка, само че съществуването им или неналичието им не могат да бъдат основа за оценката на един експерт. Има доста хора, които нямат нито един документ, а са доста положителни експерти. Те просто не имат вяра в сертификацията. Това е различен вид мислене. По-важен аршин са предходните изпълнени планове върху даден вид технология и съществуването на противоположна връзка от клиенти. "
Но в случай че при избора на снабдител на услуги за пенетрейшън проби постоянно ще има голям брой въпросителни, то няма подозрение, че в случай че има нещо по-опасно от зложелател пред портите, е врагът зад тях.
Източник: capital.bg
КОМЕНТАРИ