Ключові відмінності між скануванням уразливостей і тестуванням на проникнення
Яка різниця між скануванням уразливостей і тестуванням на проникнення? Які проблеми можна вирішити, провівши ці процедури? Як часто це потрібно робити? Чи є у цих тестів спільні риси чи це абсолютно різні процедури? Це одні з головних питань, які спантеличують людей. У цій статті ми розглянемо їх детальніше, а також поговоримо про інші, не менш важливі речі, пов'язані з даною темою.
Простіше кажучи, сканування вразливостей проводиться для оцінки вразливості системи або її окремих елементів. Тести на проникнення призначені для глибокого занурення в архітектуру вашої інформаційної мережі та визначення ступеня, до якого хакери можуть отримати доступ до активів. Існує влучна аналогія: сканування – це все одно, що підійти до дверей, подивитися, чи вони зачинені, і піти геть. Пентест складніший: відкриваєш двері і бачиш, що відбувається всередині. Однак давайте все ж розглянемо детальніше.
Сканування вразливостей: основні функції
Сканування вразливостей — це процес, під час якого виявляються потенційні вразливості в мережевих пристроях, міжмережевих екранах, маршрутизаторах, комутаторах, серверах і програмах. Для сканування використовується спеціальне програмне забезпечення. Зазвичай такі програми називаються сканерами вразливостей. Принцип їхньої роботи полягає в пошуку дірок у безпеці, через які зловмисники можуть отримати доступ до важливої інформації. Сканер збирає інформацію з усієї інфраструктури: активних процесів, запущених програм, запущених портів і пристроїв, служб тощо. Деякі сканери можуть імітувати атаку, щоб підтвердити або спростувати наявність вразливості. Крім того, сканування дозволяє вирішити наступні завдання:
- перевірка захищеності системи від брутальних атак методом проб і помилок;
- пошук вірусів і шкідливого коду;
- перевірка якості паролів та імен користувачів;
- інвентаризація програмного забезпечення та інших ресурсів;
- створення звітів про вразливості та шляхи їх усунення.
Однак, оскільки процес сканування автоматизований, він є негнучким, може давати помилкові результати та не залежить від контексту. Тому, щоб правильно оцінити ризики, результати такого тестування завжди повинні аналізуватися фахівцем.
Як часто слід проводити сканування вразливостей?
Обидва тести часто згадуються у вимогах основних галузевих норм, таких як PCI DSS, HIPAA, ISO 27001 та інші. У середньому рекомендується проводити сканування вразливостей принаймні раз на квартал. А також після будь-яких змін в інфраструктурі.
Тестування на проникнення: що це?
Тест на проникнення – це метод оцінки безпеки інформаційної системи. Виконується вручну командою спеціалістів — пентестерів. Ці люди імітують роботу справжнього зловмисника, перевіряючи організацію на можливість проникнення, і можуть виявити будь-які тонкі вразливості, недоліки або аномальну поведінку в мережі та визначити їх причини. Під час тестування використовується широкий спектр програмного забезпечення, а також обладнання та пристроїв. Як правило, команда пентестерів працює за заздалегідь спланованим сценарієм і може націлюватися як на окрему ділянку мережі, так і на всю інфраструктуру та програми. Приклади тестування на проникнення, які застосовуються до різних сценаріїв. Зокрема, сценарії пентесту включають:
- проведення «зовнішнього» тесту на проникнення, що включає запуск сканерів, відображення мережі, пошук вразливостей та інші процедури, які підбираються з урахуванням особливостей конкретного клієнта;
- перевірка захисту проксі-серверами трафіку в мережі сайту, злом сайту замовника;
- дзвонити співробітникам замовника, надсилати грізні електронні листи зі шкідливими вкладеннями тощо. Іноді тестувальники можуть залишати флешки та розклеювати плакати у замовника;
- «внутрішній» пентест — фахівці приїжджають до замовника і шукають уразливості всередині системи;
- робота з різним обладнанням, атака бездротових локальних мереж тощо.
У деяких випадках також можуть виконуватися перевірки якості паролів, імен користувачів та інші процедури. Залежно від складності роботи пентест може тривати від кількох днів до кількох тижнів.
Як часто потрібно проводити тест на проникнення?
Багато експертів пентесту рекомендують щорічні або піврічні тести на проникнення для більшості організацій. Знову ж таки, якщо ваша компанія займається ризикованою діяльністю або є особливо привабливою для зловмисників, бажано проводити пентести раз на квартал або принаймні двічі на рік. Крім того, ви повинні точно знати, які правила вимагають від вас проводити тестування на проникнення та як часто.
Основні відмінності між скануванням уразливостей і тестуванням на проникнення
Ці дві процедури часто плутають, хоча між ними є значні відмінності. Як уже зрозуміло, сканування вразливостей є повністю автоматизованим процесом. У той же час сканер має обмежену дію і не може використовуватися для поглибленого сканування. Участь інженера в скануванні полягає в налаштуванні та запуску програми сканера, а також аналізі кінцевого результату та підготовці звіту.
У свою чергу, тестування на проникнення проводиться групою людей — командою пентестерів. Це дуже гнучка процедура, під час якої визначаються будь-які уразливості в окремій ділянці інформаційної системи або всієї інфраструктури. При цьому під час пентесту спеціалісти, зокрема, видаляють усі помилкові спрацьовування, виявляють потенційні недоліки в системі та слабкі місця.
Що стосується вартості, звичайно, сканування вразливостей є набагато дешевшою процедурою, і часто проводиться за фіксованою ціною. Тоді як вартість пентесту може відрізнятися в десятки і сотні разів, в залежності від умов і завдань.
Загалом, відмінності між тестуванням на проникнення та скануванням вразливостей можна згрупувати таким чином:
1. Область випробувань. Сканування вразливостей дивиться лише на поверхню системи, виявляючи можливі лазівки, через які може проникнути зловмисник. Пентест – набагато глибша процедура, фахівці можуть буквально по шматочках розібрати вашу систему, дати детальну оцінку безпеки в цілому та рекомендації щодо її покращення.
2. Методи. Сканування вразливостей може бути:
a. Автентифікованим — експерт має доступ до всіх систем;
b. Неаутентифікованим — експерт працює з сервісом через ті ж інтерфейси, що й користувачі.
Тестування на проникнення проводиться:
a. Black box тестування — робота виключно із зовнішніми інтерфейсами системи, експерти імітують роботу хакерів;
b. Gray box тестування — частина структури відома пентестерам, але саме тестування проводиться методом чорного ящика;
в. White box тестування — усі структури, їх архітектура та реалізація відомі експертам. Таким методом можна імітувати атаку зсередини системи, наприклад, одним із ключових співробітників
3. Кваліфікація спеціалістів. Сканування вразливостей не так вимогливо до знань. Тому, загалом, з цим впорається будь-який сучасний інженер. У той же час, тест на проникнення вимагає глибоких знань і досвіду, і зазвичай проводиться командою експертів у відповідній галузі, які можуть перехитрити хакерів.
4. Періодичність тестування. Дуже бажано, щоб сканування проводилося після будь-яких змін в інфраструктурі. Тестування на проникнення проводиться рідше і найчастіше через вартість, в середньому 1-2 рази на рік.
5. Час. Сканування вразливостей – це повністю автоматизований процес, який займає в середньому кілька годин. Пентест – складна і багатогранна процедура, яка вимагає підготовки і займає від кількох днів до кількох тижнів.
6. Витрати. Вартість прямо пропорційна часу, витраченому на підготовку та роботу. Таким чином, вартість сканування можна вважати помірною, тоді як вартість тесту на проникнення може коливатися від кількох тисяч до десятків і навіть сотень тисяч доларів.
7. Звіт. Після обох процедур експерти видають звіт про виконану роботу, і в залежності від домовленостей цей звіт, крім результатів тестування, може містити рекомендації щодо усунення вразливостей і багато іншої конкретної інформації.
Цілком очевидно, що кожен тест має різні цілі і дає різні результати. Ці дві процедури не взаємозамінні, а доповнюють одна одну. Сканування вразливостей — це швидке сканування, яке чудово підходить для швидкої оцінки безпеки вашої системи. Водночас тест на проникнення – це глибока процедура, під час якої експерти можуть зазирнути в кожен закуток вашого бізнесу, ретельно перевірити всю кібербезпеку, аж до роботи зі співробітниками та обладнанням.
Обидва тести працюють разом. Наприклад, ви можете проводити оцінку вразливості раз на місяць, щоб точно знати, в якому стані знаходяться мережі та програми. При цьому ви можете проводити тест на проникнення раз на рік. Таким чином, ви зможете забезпечити своєму бізнесу певний рівень безпеки в інформаційному полі, проаналізувати кіберризики, визначити засоби контролю та надати належні гарантії своїм партнерам і клієнтам. Зрештою, усі деталі тестування залежатимуть від конкретних умов: розміру вашої компанії, галузі бізнесу, ризиків, правових норм та інших факторів.
Також не варто забувати про навчання співробітників. Надаючи відповідні інструменти своїй групі безпеки, ви не гарантуєте, що всі вони будуть використані належним чином. Брак знань щодо роботи з інструментами, пов’язаними з кібербезпекою, становить серйозну загрозу. Тому, разом з оновленням систем, ваші співробітники також повинні освіжати свої знання та навички. Сприймайте це як інвестицію в безпеку організації та продуктивність відповідних працівників.
Якщо у вас виникли запитання, зв’яжіться з нами, і ми обговоримо питання безпеки з вашою компанією. Під час консультації ви отримаєте комплексну оцінку та рекомендації, щоб свідомо прийняти правильне для вас рішення. Ми існуємо, щоб гарантувати, що ваша кібербезпека є надійною, гнучкою та відповідає всім сучасним стандартам.