Многие аудиты кибербезопасности теперь спрашивают, проводится ли тестирование на проникновение и как обнаруживаются и отслеживаются уязвимости. Эти вопросы требуют от ИТ-специалистов рассмотреть, как часто безопасность проверяется извне с помощью тестирования на проникновение и изнутри с помощью тестирования на уязвимости.
Это прямо здесь — внутри и снаружи — должно дать вам хорошее представление о ключевой разнице между тестами, но для тех, кто не тратит свои дни на аудит соответствия, разницу между этими двумя тестами может быть трудно понять. В конечном счете, хотя тестирование на проникновение требуется чаще, добавление тестирования на уязвимости приводит к более безопасной организации.
Вкратце: тесты на проникновение и тесты на уязвимости
Когда использовать тестирование на проникновение: чтобы найти внешние уязвимости в таких вещах, как брандмауэры, веб-приложения и шлюзы.
Когда использовать тестирование уязвимостей: чтобы найти уязвимости внутри вашей сети — важно для предотвращения бокового перемещения хакеров, проникших в вашу сеть.
Ознакомьтесь с нашими руководствами по лучшим инструментам тестирования на проникновение и сканирования уязвимостей.
Оглавление
Что такое тест на проникновение?
Что такое тест на уязвимость?
Проникновение против тестирования уязвимостей
Почему оба важны
Что такое тест на проникновение?
Тесты на проникновение ИТ-систем исследуют внешние средства защиты, чтобы найти бреши и слабые места извне организации без каких-либо дополнительных знаний о ее системах.
Тесты на проникновение включают использование инструментов сканирования уязвимостей и, как правило, применяются к внешним устройствам и приложениям безопасности, включая, помимо прочего, брандмауэры, веб-серверы, веб-приложения, шлюзы и VPN — серверы. Тестирование на проникновение также может включать в себя распространенные методы взлома, такие как социальная инженерия, фишинговые атаки, атаки сброшенного USB-накопителя и т. д.
Для многих режимов соответствия требуется ежегодное тестирование на проникновение, но некоторым организациям может потребоваться проводить тестирование чаще. Всем организациям рекомендуется проводить тест на проникновение после любого существенного изменения их ИТ-инфраструктуры или безопасности, но не у всех есть на это время.
Читайте также: Тестирование на проникновение: как запустить программу пентестинга
Что такое тест на уязвимость?
Тесты на проникновение предоставляют важную информацию о видимых извне уязвимостях; однако тестирование уязвимостей может быть еще более ценным. Большинство компаний хорошо справляются с базовой безопасностью, и тестирование на проникновение часто не может найти ничего интересного.
Однако достаточно одного неудачного клика по фишинговой кампании, и внезапно злоумышленники будут смотреть на организацию изнутри. Тесты на уязвимости ИТ-систем направлены на поиск этих дыр в безопасности внутри организации.
Тестирование уязвимостей, часто называемое сканированием уязвимостей, заключается в поиске уязвимостей и определении их приоритетности в соответствии с уровнем угрозы и вероятностью использования.
Тесты на уязвимости начинаются со знания внутренних систем и, как и тестирование на проникновение, могут использовать инструменты сканирования уязвимостей с внутренними разрешениями для тестирования внутренних ИТ-систем. Эти тесты часто расширяют возможности устройств, тестируемых тестами на проникновение, и включают в себя:
Внутреннее сетевое оборудование, такое как коммутаторы и маршрутизаторы
Файловые серверы
Сетевые устройства хранения данных (NAS)
Индивидуальные компьютеры
Периферийные устройства, такие как принтеры и сканеры
Устройства Интернета вещей (IoT), подключенные к сети, такие как камеры видеонаблюдения, телевизоры и т. д.
Критические приложения и внутренние процессы, такие как Active Directory (AD) ; Система доменных имен (DNS) ; и программное обеспечение для бухгалтерского учета, банковского дела или управления операциями
Тестирование уязвимостей часто начинается с базового уровня безопасности пользователя для атаки на организацию. Это будет имитировать, как злоумышленник может использовать доступ, предоставленный пользователем, который стал жертвой фишинговой атаки и у которого были украдены его учетные данные.
Наконец, для компаний, которые создают свои собственные приложения, сканирование уязвимостей может включать сканирование их библиотек программного обеспечения и их цепочки поставок на наличие известных уязвимостей. Недавнее исследование Veracode показало, что более частое сканирование уязвимостей сократило типичное количество уязвимостей на две трети и сократило время устранения уязвимостей более чем на 30%.
Ознакомьтесь с лучшими инструментами безопасности и отладки кода
Тестирование уязвимостей рекомендуется проводить регулярно, но это требуется только некоторыми нормативными актами. Например, стандарт безопасности данных PCI (PCI DSS) требует проводить тестирование на уязвимости не реже одного раза в квартал и после каждого существенного изменения ИТ или безопасности.
Проникновение против тестирования уязвимостей
В конечном счете, как тестирование на проникновение, так и тестирование уязвимостей представляют большую ценность для любой организации. Так почему же мы чаще слышим о тестировании на проникновение, чем о тестировании уязвимостей? На это есть три причины: популярность, минимальные требования и огромные нагрузки.
Популярность
Тестирование на проникновение считается круче, чем тестирование уязвимостей. Тесты на проникновение, также известные как атаки красной команды, могут быть более увлекательными для следователей по ИТ-безопасности, поэтому всегда кажется, что существует гораздо больше классов и сертификатов, посвященных методам красной команды, чем защитным методам синей команды. «Белая шляпа» и этические хакерские сертификаты — это круто.
Тем не менее, эта точка зрения также искажена реальностью, что тестировщику проникновения нужно найти только один способ добиться успеха, а защитник синей команды должен уметь противостоять каждой возможной тактике красной команды. Количество классов также довольно неравномерно, поскольку каждый класс, который не помечен специально как класс красной команды или класс тестирования на проникновение, по сути является классом тестирования уязвимостей.
Большая часть тестирования уязвимостей заключается в проверке того, правильно ли ИТ-команды выполнили свою работу по созданию инфраструктуры компании и настройке ее безопасности. Тестирование уязвимостей больше похоже на домашнее задание, чем на взлом.
Минимальные Требования
В то время как большинство нормативных актов будут содержать требования как к тестированию на проникновение, так и к тестированию на уязвимости, многие сторонние опросники о соответствии требуют только тестирования на проникновение и управления уязвимостями.
Управление уязвимостями можно проверить, выполнив управление исправлениями или используя службу управления обновлениями и исправлениями. Многие предприятия стремятся соответствовать только минимальным требованиям и просто остановятся, как только эти флажки будут отмечены.
Тем не менее, это, вероятно, будет развиваться в течение следующих нескольких лет. Штат Нью-Йорк уже требует как тестирования на проникновение, так и оценки уязвимостей для своих финансовых учреждений, а как PCI DSS, так и структура кибербезопасности Национального института стандартов и технологий (NIST) (800−115) содержат сканирование уязвимостей в качестве основных требований.
Мы должны ожидать, что другие законы и правила начнут соответствовать этим рамочным стандартам в ближайшем будущем, поскольку кибератаки продолжаются.
Подавляющие Рабочие Нагрузки
Иногда тестирование уязвимостей выявляет больше уязвимостей, чем может быть исправлено. Общеизвестно, что медицинские учреждения обнаруживают множество проблем, поскольку многие медицинские устройства визуализации работают на операционных системах, которые больше не получают обновлений (см. Три способа защиты от неустранимых угроз безопасности).
Кроме того, есть тысячи уязвимостей с низкими рейтингами Common Vulnerability Scoring System (CVSS), поскольку эти уязвимости может быть трудно использовать. Многие сканирования уязвимостей выдают список оценок, которые могут показаться не очень важными.
Например, организация может обнаружить, что маркетинговый сервер использует iText V. 7.1.17 для создания PDF-файлов и управления ими на Java. Это программное обеспечение содержит уязвимость CVE-2022-24198, которая позволяет специально созданному файлу PDF вызывать распределенную атаку типа «отказ в обслуживании» (DDoS). Если отдел маркетинга не использует этот сервер постоянно, то проблема, скорее всего, может подождать, пока ее не исправят, чтобы расставить приоритеты по более важным уязвимостям.
Почему оба важны
Когда ИТ-команда изо всех сил пытается справиться со своей рабочей нагрузкой, сканирование уязвимостей и последующее отслеживание уязвимостей с низким уровнем серьезности кажутся большими проблемами, чем они того стоят. Легче выполнить сканирование на проникновение и заявить, что организация в безопасности.
Однако огромное количество атак начинается через социальные сети или с помощью фишинга. Одним неудачным щелчком злоумышленник оказывается внутри организации и за стеной безопасности, проверенной в тесте на проникновение.
Тестирование уязвимостей рассматривает организацию с точки зрения злоумышленника, который успешно взломал организацию. Он выявляет самые простые цели и самые быстрые подходы, которые может использовать злоумышленник.
Уязвимости вынуждают организации выполнять критическую задачу: оценивать риски. Хотя такие оценки не обязательно должны быть формальными, организации со зрелыми процессами безопасности будут вести реестр рисков с приоритетом.
Очевидно, что критические риски необходимо устранять немедленно, и реестр будет отслеживать дату и метод, использованный для устранения уязвимости (обновления, исправления, элементы управления, замена активов). Рискам с более низким рейтингом можно приоритизировать в зависимости от стоимости актива, серьезности уязвимости и контроля.
Обе формы тестирования выявляют ошибки и дают ИТ-специалистам возможность их исправить. Проверка вторичных уровней защиты от атаки изнутри может быть чрезвычайно ценной. Компании, которые действительно хотят избежать головной боли от взлома, захотят провести как тестирование на проникновение, так и тестирование на уязвимость.
