Враг зад портите

Според 2021 Penetration Testing Report на американска компания за компютърна и мрежова сигурност Core Security by HelpSystems 74% от компаниите извършват пенетрейшън тестове във връзка с програми за управление на уязвимостите, 73% - за измерване на общите нива на сигурност на организацията, а 70% - за да си гарантират съответствие със законодателните изисквания. Рисковете, които компаниите искат да минимализират с помощта на този модел, също са разнопосочни. На първо място респондентите в изследването поставят неправилната конфигурация на мрежи и системи (80%), следвана от фишинг заплахите (79%), слабите пароли (60%), неизползваните акаунти (31%) и загубата или кражбата на устройства (29%). Широкият спектър от проблеми, който обхващат пенетрейшън тестовете, обаче превръщат този тип услуги в сложни за изпълнение, а повърхностният подход към тях засилва киберрисковете пред организациите.

Оценката на уязвимостите не е достатъчна

Най-често правената грешка е поставянето на знак за равенство между оценката на уязвимостите и пенетрейшън тестовете. "Често пенетрейшън тестовете се бъркат с различни видове анализи на сигурността като оценката на уязвимостите. Тя е отделен елемент от цялостната стратегия за киберсигурност, като основната й идея е да открие наличието на добре познати уязвимости, които са били идентифицирани вече, има публикувана информация за тях, има разбиране за техните характеристики и има указания как те да бъдат ограничени. Това е стандартен процес, който трябва да се случва регулярно и непрекъснато в една организация, но не може да бъде еквивалент на пенетрейшън теста", предупреждава Борис Гончаров.

В същото време оценката на уязвимостите не дава информация относно това по какъв начин може да бъдат използвани откритите уязвимости, какъв би могъл да бъде последващият ефект от тяхното използване, какви данни могат да бъдат достигнати и какво би означавало това за дейността на организацията. Този комплексен поглед може да бъде постигнат единствено чрез пенетрейшън тест. "При него могат да се открият уязвимости, които сами по себе си не са техническа слабост, а са свързани с начина, по който се контролират процесите и е изградена цялостната система или мрежа. С други думи, един пенетрейшън тест далеч надхвърля елемента на проверка", категоричен е инструкторът по информационна сигурност и обръща специално внимание, че използването само на автоматизирани инструменти, характерни за процеса по оценка на уязвимостите, заплашва да създаде измамно усещане за сигурност на една организация, "тъй като те са много далеч от възможностите на специалистите по отношение на анализа и разбирането на голямата картина".

Често пенетрейшън тестовете се бъркат с различни видове анализи на сигурността като оценката на уязвимостите. Тя е отделен елемент от цялостната стратегия за киберсигурност, като основната й идея е да открие наличието на добре познати уязвимости, които са били идентифицирани вече, има публикувана информация за тях, има разбиране за техните характеристики и има указания как те да бъдат ограничени.

"Едновременно с това има много хора, които предлагат услуги за пенетрейшън тестове, но всъщност не разбират технологията, която тестват, нито механиката на самия процес по тестване. Те използват някакъв инструмент, изпълняват някаква команда, тя резултира в нещо и то после се представя като крайна оценка. Често подобен тип изпълнения по-скоро вредят на организациите, отколкото да им помагат", смята Борис Гончаров.

Това неминуемо повдига въпроса какво трябва да имат предвид организациите при избора на доставчик на услуги за пенетрейшън тестове.

Който го може, го може

Анализ на водещата изследователска компания Cybersecurity Ventures сочи, че към края на 2021 г. в сферата на киберсигурността в глобален мащаб има 3.5 милиона незаети работни места. В това число логично попадат и специалистите в сферата на пенетрейшън тестовете. Според 2021 Penetration Testing Report едва 56% от компаниите разчитат на вътрешни екипи, докато 36% никога не са разполагали с такива, а 8% от респондентите отговарят, че някога са имали, но са се отказали от тази практика. Попитани защо нямат подобни звена в организацията си, цели 36% посочват като основна причина липсата на талант. "Истински завършените специалисти са голяма рядкост като експертиза в глобален мащаб. В това поле проблемът с кадрите е огромен, тъй като въпросният специалист, за да тества една система, трябва да е наясно как функционира тя, какъв е технологичният стак, който се използва, а не просто да разчита на някакъв инструмент и да представи резултатите от неговата проверка. "Отглеждането" на вътрешни специалисти винаги е по-добър вариант, тъй като организациите имат пълен контрол над тях, но изграждането на подобна експертиза изисква години обучение и постоянно повишаване на квалификацията, а в много случаи ресурсите са ограничени", коментира Борис Гончаров.

Затова и компаниите често прибягват до услугите на трети страни, сблъсквайки се с въпроса на каква база да направят своя избор на доставчик. От глобалната сертифицираща организация CREST отговарят: "Два от най-важните критерии, които трябва да се вземат предвид, са репутацията и историята на доставчика и етичното поведение, което той възприема и налага", а Борис Гончаров добавя: "Сертификациите са добра изходна точка, но наличието им или липсата им не могат да бъдат основа за оценката на един специалист. Има много хора, които нямат нито един сертификат, а са много добри специалисти. Те просто не вярват в сертификацията. Това е друг тип мислене. По-важен критерий са предишните изпълнени проекти върху даден тип технология и наличието на обратна връзка от клиенти."

Но ако при избора на доставчик на услуги за пенетрейшън тестове винаги ще има множество въпросителни, то няма съмнение, че ако има нещо по-опасно от враг пред портите, е врагът зад тях.

Илюстрация: Петя Савова