Почему даже регулируемым отраслям нужны решения BAS.

"Я работаю в регулируемой отрасли и провожу обязательное тестирование на проникновение раз в году. Зачем мне метод моделирования взломов и атак?"

Давайте углубимся в этот вопрос, так как потребность в решениях для моделирования взломов и атак (BAS), таких как Cymulate, не уменьшается в регулируемой среде. Фактически, она становится еще больше, если вы проводите тестирование на проникновение для соответствия нормативным требованиям. Вот почему:

1 - Вы проводите тест на проникновение раз в год.

Тестирование на проникновение - способ получить моментальный снимок защитных возможностей ИТ-среды. Снимок показывает определенные системы защиты в определенный момент времени в определенной среде и при определенных обстоятельствах, которые были представлены для тестирования. Профессионалы в области безопасности (пен-тестеры) могут направлять ход теста в обход слабых средств защиты. Они также могут использовать тактики социальной инженерии в реальном времени и альтернативные методы атаки для обнаружения разных способов проникновения в одни и те же целевые системы, но эта методология имеет значительные ограничения.

Пен-тестеры ограничены определенными Rules of Engagement (RoE’s). Действия тестера могут включать принудительные перезагрузки, аварийное завершение работы служб, случайное или целенаправленное уничтожение данных. Поэтому большинство компаний применяют RoE’s, чтобы ограничить потенциальный ущерб для бизнеса при проведении тестирования. RoE’s защищают от непредвиденных простоев и финансовых потерь, но также способствуют тому, что для части атак тестирование на проникновение не проводится. RoE’s закрывают доступ к некоторым системам, которые в результате не проходят необходимую проверку. Не выявленные уязвимости в системе безопасности подвергают организацию риску. 

Поскольку автоматизация реальных протоколов тестирования на проникновение может быть довольно опасной без введения строгих ограничений, в том числе на типы используемых методов, в большинстве случаев пен-тестирование остается ручной операцией. Если тестеры найдут способ обойти контроль безопасности, они его используют. Скорее всего, они не будут опробовать методы, которые могли бы обнаружить дополнительные уязвимости в системе безопасности. Во-первых, потому что количество методов, которые могут быть применены в течение отведенного для теста времени, ограничено при ручном тестировании. Во-вторых, если тестировщик уже пришел к своей цели, будь то достижение определенной точки безопасности самих систем, кэширование данных или другие, тестирование другими методами не будет применяться.  

Решения BAS предназначены для работы в производственных средах и не приводят к сбоям и поломке инфраструктуры. Они раскладывают сложные методы на составные части, а затем циклично проверяют эффективность каждого метода без риска отключения серверов или удаления информации в файловых системах, базах данных, и т.д. Платформы BAS могут обеспечить эффективное тестирование тысячами методов и приемов, не подвергая организацию риску простоя. Благодаря возможности безопасной автоматизации все эти методы и приемы могут быть применены в сжатые сроки, даже если один или несколько уже оказались эффективными. Решения BAS можно запускать без ограничений RoE’s, что позволяет безопасно автоматизировать и проверить больше систем, чем может позволить традиционное тестирование. Это позволяет Cymulate работать в большем количестве областей организации, запускаться с большей частотой и обнаруживать все фактические уязвимости в безопасности, в любом заданном наборе систем.

2 - Нормативные отчеты могут стать общедоступной информацией

Информация об уязвимостях в безопасности организации из ежегодных отчетов о тестировании может стать общедоступной. Это может привести к подрыву репутации организации и даже к возможности использования данных об уязвимостях злоумышленниками. Таким образом отчеты могут стать источником дополнительных проблем, финансовых потерь и возможных атак.
 
Решения BAS позволяют проводить тестирование на постоянной основе и устранять уязвимости задолго до официальной проверки на проникновение. Это также означает, что пен-тест, проводимый для отчета на соответствие, подтвердит соответствие и эффективность стандартных мер безопасности. Если такой отчет станет общедоступным, он также подтвердит, что компания принимает надлежащие меры для контроля доступа к конфиденциальной информации. Cymulate можно легко настроить на еженедельное или ежемесячное тестирование с использованием обновленных методов, предоставление постоянно обновляемого набора рекомендаций по исправлению, позволяющих исправлять любые уязвимости в системе задолго до нормативного тестирования на проникновение. Специалисты по кибербезопасности могут исправить выявленные уязвимости перед ежегодной проверкой на проникновение. Когда аудиторы придут с нормативной проверкой на проникновения, организация может быть уверена, что тестировщики не обнаружат несоответствие в применяемых средствах контроля безопасности.

Вывод

Решения BAS и нормативное тестирование на проникновение идеально сочетаются. Платформы BAS работают в течение года, обеспечивая безопасность организации и подготовку к ежегодной проверке на проникновение. У ИТ-специалистов и специалистов по кибербезопасности есть не только время на исправление ошибок, но и уверенность в безопасности данных. В случае обнародования нормативных отчетов, они покажут, что вы действовали в интересах ваших клиентов, для защиты их данных и другой конфиденциальной информации.
Регуляторное тестирование на проникновение - это мощный инструмент для защиты вашей организации. Когда важная информация может стать общедоступной, одной операции пен-теста в качестве основной стратегии тестирования безопасности недостаточно.

Автор Mike Talon July 30, 2020, источник: https://blog.cymulate.com/breach-attack-simulation-regulated-industries