Тестування на проникнення: мета та цілі

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Тестування на проникнення: мета та цілі

Скибун Олександр Жоржович

канд. наук з держ. упр., кафедра інформаційної та кібернетичної безпеки Державний університет телекомунікацій, місто Київ, Україна

Подальший розвиток цифрових, інформаційно-комунікаційних, комп'ютерних технологій, технологій штучного інтелекту та Інтернету речей створюють передумови для більш широкого використання нових можливостей в усіх сфера суспільства. Так, новітні цифрові технології все більше впливають на фізичну реальність, збільшуючи рівень кібернетичної (віртуальності), коли значний обсяг комунікацій, процесів (суспільних, соціальних, економічних, політичних) відбуваються у новій реальності.

На сьогодні все більше компаній, державних установ, підприємств, організацій, закладів освіти і культури, медичних закладів, засобів масової інформації та засобів масової комунікації створюють веб-сторінки та будують відкриті комп'ютерні системи (інформаційно-комунікаційні системи) з доступом до своїх інформаційних ресурсів (баз даних, інформації, новин, літератури, освітніх програм, послуг тощо).

Збільшення рівня цифровізації, віртуалізації та комп'ютеризації усіх сфер життя призводить до зростання рівня кіберзлочинів та кіберінцидентів, коли під загрозою опиняються персональні дані, чутлива інформація, функціонування виробничих процесів та здійснення процесів управління, що в кінцевому результаті впливає на кібербезпеку компанії взагалі. Для можливості упередження активізації дій кіберзлочниців та нівелювання наслідків від їх дій пропонується проводити тренування шляхом тестування проникнення, яке «зазвичай оцінює здатність системи захищати свої мережі, програми, кінцеві точки та користувачів від зовнішніх або внутрішніх загроз», а також «намагається захистити засоби контролю безпеки і забезпечує лише авторизований доступ» [1, с.5]. V. Jinson говорить про те, що «тестування на проникнення в мережу - це процес імітації хакерської атаки на ваші мережеві активи для виявлення та використання неправильної конфігурації безпеки, уразливостей мережі та загроз, як-от відкритих портів, уразливих пристроїв або застарілого програмного забезпечення, що працює в мережі» [3]. K. Ananda відзначає, що «кіберзлочинці можуть легко використати деякі поширені вразливості, такі як SQL-ін'єкція, міжсайтовий сценарій (XSS) і підробка міжсайтового запиту (CSRF), за допомогою яких вони можуть викрасти конфіденційні дані, наявні на вашому веб-сайті, або навіть отримати повний контроль над вашим веб-сайт», а тому «щоб цього уникнути, завжди корисно вживати профілактичних заходів, як-от проведення пентесту веб-сайту, щоб виявити та усунути вразливості до того, як цим скористаються зловмисники» [2]. Але при цьому K. Ananda наголошує на необхідності використання двох інструментів для підвищення ефективності пентестування, а саме: оцінку вразливості, «яка лише визначає та перераховує всі наявні вразливості на вашому веб-сайті» та безпосередньо тестування на проникнення, яке «більше зосереджується на тому, як можна використати кожну з цих вразливостей», оскільки «оцінка вразливості є початковим кроком у всьому процесі», адже «онлайн-тестування безпеки веб-сайту або пентестування «вже «використовує результати (список вразливостей) для визначення ступеня ризику» при цьому «оцінка вразливості може використовувати як автоматичне, так і ручне сканування», а «тестування на проникнення - це, як правило, ручний процес, який виконують досвідчені інженери безпеки» [2]. Також необхідно враховувати те, що до основних цілей замовника тестування на проникнення клієнта можна віднести такі: «підвищення безпеки технічних систем; виявлення вразливих місць; підтвердження безпеки ІТ зовнішньою стороною; підвищення безпеки організаційно-кадрової інфраструктури» при цьому «результат тесту на проникнення ІТ повинен бути не лише переліком існуючих вразливих місць, а в ідеалі він також повинен запропонувати конкретні рішення для їх усунення» [1, с.20]. Адже «метою мережевого пентестування є виявлення вразливостей безпеки в мережі» та «допомога цільовій організації посилити захист від кіберзагроз» [3]. А тому використання комплексного підходу до питання тестування на проникнення (проведення аналізу вразливості + тестування на проникнення) дає можливість компаніям, установам здійснювати свою діяльність, використовуючи усі доступні можливості новітніх цифрових технологій. Як відзначає K. Ananda «онлайн-тестування на проникнення може допомогти вам у такі способи: для виявлення та усунення недоліків безпеки на вашому веб-сайті; дає цілісне уявлення про неправильно налаштовані інтеграції, реалізовані на сайті; тестування на проникнення імітує реальні сценарії атак і допомагає зменшити ризики; допомагає досягнути певних вимог відповідності, таких як GDPR, ISO 27001, PCI-DSS, HIPAA тощо; дозволяє виявити потенційні вразливості на вашому сайті; вберігає від юридичних наслідків і значних штрафів відповідно до політики безпеки даних; допомагає підготувати команду безпеки компанії до боротьби з реальними кібератаками.» [2]. Разом з тим необхідно відзначити, що розуміння важливості проведення превентивних заходів приходить досить повільно, особливо це стосується малого та середнього бізнесу, де на питання кібербезпеки та кіберзахисту приділяється менше уваги ніж у великих транснаціональних компаніях та корпораціях. Такий підхід зумовлений тим, що малий та середній бізнес вважає, що кіберзлочинців цікавить тільки великі компанії, де циркулює набагато більше чутливої інформації ніж у них. Хоча статистика говорить про протилежне, бо якраз основний удар кіберзлочинців направлений на малий та середній бізнес з огляду на низький рівень кіберзахисту та дотримання вимог кібербезпеки («60% кібератак спрямовані на малий бізнес»), адже персональні дані та чутлива інформація є присутньою у низ також.

Але з часом ситуація міняється, все більше питання кіберзахисту та кібербезпеки виходять на перші місця і запобігання кіберзлочинам вбачається більш фективним, простим і менш затратним по ресурсам ніж подолання наслідків кіберінцидентам. Слід враховувати, що вже сьогодні окремі положення нормативних актів зобов'язують компанії здійснювати «тестування на проникнення» в першу чергу «для індустрії платіжних карток для захисту конфіденційної інформації клієнтів (PCI DSS)» [3]. Наприклад «відповідність стандарту ISO 27001 вимагається багатьма організаціями, наприклад банками та постачальниками медичних послуг», положення якого вимагають виконання таких вимог, а саме: «розробка та впровадження системи управління інформаційною безпекою (СУІБ); виявлення та оцінка ризиків для безпеки інформації; запровадження засобів контролю для пом'якшення цих ризиків; регулярний моніторинг та перегляд ефективності СУІБ» [2]. На наш погляд вказані вимоги необхідно вимагати для запровадження компаніями в усіх сферах, що в кінцевому результаті сприятиме посиленню рівня кіберзахисту та кібербезпеки.

Висновки

тестування на проникнення веб-сайтів

Розгляд цілей та мети проведення тестування на проникнення показав, що на сьогодні зростає ринок надання послуг із тестування на проникнення, за рахунок незалежних компаній, які пропонують послуги з тестування на проникнення. Такому сценарію сприяють автоматизація процесів тестування веб-сайтів та системи в цілому за умови наявного широкого спектру інструментів, доступних у вільному доступі для здійснення тестування на проникнення. Водночас необхідно пришвидшувати обов'язковості впровадження здійснення відповідності стандарту ISO 27001 для компаній, організацій, установ усіх сфер, а не тільки для банків та постачальників медичних послуг, адже проблеми уразливості та ризиків кіберінцидентів стосуються усіх хто використовує веб-сайти у комунікаціях з клієнтами, споживачами послуг тощо.

Список використаних джерел

[1] Опорний конспект лекцій з курсу «Тестування комп'ютерних систем на проникнення» для студентів спеціальності 125 «Кібербезпека» Тернопіль: ТНЕУ, 2019. 119 с.

[2] Ananda K. Website Penetration Testing- A Complete Guide (Website Pentesting) 2019. Взято з : https://www.getastra.com/blog/security-audit/website-penetration-testing/.

[3] Jinson V. Network Penetration Testing - A Detailed Guide. 2020. Взято з :https://www.getastra.com/blog/security-audit/network-penetration-testing/.

Размещено на Allbest.ru