Техподдержка 24/7 Пн-пт 9:30 – 18:30 +7 495 721 1218
16.02.2023

Pentest vs Анализ защищённости ИТ-инфраструктуры

Одна из важнейших составляющих успеха любого современного бизнеса – защищённость его IT-инфраструктуры. В современных реалиях ИТ-ландшафт постоянно меняется, актуализируется и регулярно обновляется, что приводит к формированию новых точек входа для хакеров. Оптимально, если в компании есть система защиты, которая может оперативно распознавать и закрывать эти точки. Однако, далеко не всегда есть возможность содержать в своём штате службу информационной безопасности. Поэтому, бывает так, что уязвимости выявляются уже постфактум.

Нередко бизнес приходит с задачей провести анализ защищённости IT-инфраструктуры, но в процессе выясняется, что он имел в виду Pentest, то есть тестирование на проникновение. Бывает и наоборот. Для компании разница не всегда очевидна, главное, чтобы сервис-провайдер обнаружил уязвимости и понял, как их устранить.

Анализ IT-инфраструктуры

Анализ ИТ-инфраструктуры – независимая проверка защищённости информационных систем от угроз как внутри, так и снаружи. Она призвана обнаружить все имеющиеся уязвимости: как известные, так и неизвестные. После этого анализ прекращается, поскольку не предусматривает ничего иного (к примеру, имитации атаки). Чаще всего проверку проводят изучая различные объекты вроде приложений, сервисов или сегментов сети.

Цель – обнаружить все имеющиеся уязвимости для того, чтобы устранить их до введения системы в эксплуатацию. Результат – получить комплексный анализ имеющейся инфраструктуры и советы по исключению уязвимостей. В процессе оценивается соответствие уровня защищённости IT-инфраструктуры или её отдельных составляющих протоколам безопасности, стандартам и нормам разработчиков программного обеспечения и производителей оборудования.

Что входит в аудит ИБ?

Аудит информационной безопасности нужно проводить систематически. Если компания ведёт свою деятельность в отрасли, которая строго регулируется на законодательном уровне, результаты анализа помогут соответствовать целому ряду имеющихся стандартов:

  • General Data Protection Regulation (GDPR);
  • International Organization for Standardization (ISO);
  • Payment Card Industry Data Security Standard (PCI-DSS).

Анализу подвергаются основные компоненты IT-инфраструктуры: оборудование, ПО, системы безопасности и другие.

Анализ ПО и оборудования

На данном этапе проводят экспертизу и оценку состояния рабочих мест, технических особенностей оборудования и программного обеспечения на соответствие целям компании. В процессе также проверяют лицензии ПО.

Анализ системы безопасности

Данное исследование также затрагивает оборудование и ПО, но его цель – изучить методы защиты инфраструктуры, а именно: антивирусные программы, защиту от взлома, возможности создания бэкапов, межсетевые коммуникации. Таким образом:

  • оценивают общее состояние ИТ-инфраструктуры;
  • определяют её сильные и слабые звенья;
  • определяют объём ресурсов (как потенциальных, так и задействованных).

Особое внимание уделяют критически важным составляющим, в частности – порядку доступа к тем или иным объектам при возникновении неисправности или состоянию источников бесперебойного питания.

Анализ инфраструктуры сети

В процессе изучают и оценивают состояние всех каналов связи (IP-телефония, почта) между сотрудниками организации и покупателями или клиентами.

Какие задачи решает анализ?

Анализ защищённости IT-инфраструктуры является универсальным инструментом, который подходит для среднего и крупного бизнеса независимо от направления деятельности. Он позволяет:

  • свести к минимуму риск утечки конфиденциальных данных;
  • определить уровень информационной безопасности и повысить его, если это необходимо;
  • сформировать или усовершенствовать процессы системы ИБ;
  • оптимизировать затраты на формирование системы и её поддержание на предприятии;
  • повысить эффективность контроля за подразделением ИБ.

После проведения анализа сервис-провайдер предоставляет чёткие рекомендации, позволяющие устранить выявленные уязвимости и спланировать мероприятия по совершенствованию защиты ИТ-инфраструктуры.

Защита IT-инфраструктуры

Отечественные решения для комплексной защиты ИТ-инфраструктуры любой сложности

Узнать подробнее
Защита IT-инфраструктуры

Pentest – тестирование на проникновение

Pentest – один из способов оценки безопасности компьютерных сетей или систем путём имитации хакерской атаки. Его особенность заключается в проведении с позиции самого хакера, поэтому уязвимости системы могут быть активно использованы для имитации взлома. Таким образом можно выявить потенциальные уязвимости, способные привести ко сбоям в работе либо к полному отказу системы. Результат проведения пентеста – отчёт с перечнем обнаруженных слабых мест, а также (если это предусмотрено договором) рекомендации по их устранению.

Цель данного способа – оценить риски взлома системы и спрогнозировать финансовые потери в том случае, если атака будет успешной. Сам тест является обязательной составляющей аудита безопасности и проводится пентестером. Он определяет возможность проникновения в сеть предприятия и условия, при которых это осуществимо: временной период, инструменты, число и уровень подготовки хакеров, а также оборудование, которым они должны располагать. Ценность такого тестирования заключается в том, что оно позволяет определить эффективность защиты системы с точки зрения злоумышленника. Таким образом можно определить те участки, которым специалисты по безопасности не уделили должного внимания.

Какие есть виды пентеста?

Прежде всего тестирование может быть внутренним (проводимым непосредственно из инфраструктуры компании) и внешним (проводимым извне). Последнее проводится по одной из следующих методик:

  • Белый ящик. Пентестер располагает всей информацией о предприятии, вплоть до исходного кода. Он устанавливает, насколько система защиты устойчива к попыткам взлома разработчиками или администратором, а также определяет максимальное число уязвимостей.
  • Серый ящик. Пентестер располагает сведениями об инфраструктуре предприятия и имеет возможность имитировать атаку, в которой принимают участие его сотрудники, предоставляя информацию заинтересованным лицам. Он устанавливает эффективность системы информационной безопасности и риски, при которых её простые пользователи способны нанести ей вред.
  • Чёрный ящик. Пентестер не располагает сведениями о предприятии, кроме тех, что доступны из открытых источников. В процессе он задействует инструменты для взлома и добывания нужных сведений или входа в систему. Таким образом он имитирует действия хакеров и определяет готовность системы к стандартным попыткам взлома.

Стоит понимать, что тест на проникновение проводит не один человек, а целая команда. Перед его началом с заказчиком обсуждают способы и цели, которых нужно достичь. Они могут быть разными: определение эффективности средств защиты, тестирование готовности сотрудников предприятия к фишинговым атакам или возможность получения тех или иных привилегий для определённых пользователей. В команду тестирования помимо пентестера могут входить:

  • Исследователь – специалист, изучающий программы и системы компании-клиента в течение определённого промежутка времени.
  • Аудитор – специалист, изучающий структуру сети, устройства, которые к ней подключены, и их конфигурацию. Его задача – дать независимые рекомендации для повышения уровня защиты системы.
  • Bug-hunter («багхантер», или «охотник за жучками») – специалист, задача которого – поиск уязвимостей и предупреждение о них службы безопасности предприятия, если таковая имеется.

Можно ещё выделить RedTeam, то есть команду, которую привлекают для проведения теста на предприятиях, где работает надёжная служба информационной безопасности. Её задача – реальный взлом, о котором сотрудники не имеют ни малейшего понятия. Таким образом их проверяют на умение и правильность действий непосредственно в моменты таких событий. Члены команды действуют максимально скрыто, чаще всего – в выходные дни, праздники или ночью. В процессе могут быть задействованы самые сложные уязвимости, которые они могут вычислять месяцами.

Какие результаты дает тестирование на проникновение?

Основная цель тестирования на проникновение – определение эффективности системы защиты информации компании. Всё, что происходит в процессе, подробно документируется – в результате клиент получает отчёт, в котором описаны все детали взлома, а также есть рекомендации по устранению выявленных уязвимостей.

Проводить Pentest нужно регулярно. Временные промежутки при этом определяются масштабом и динамикой IT-инфраструктуры, а также бюджетом, который организация готова выделять на него. Слишком частое тестирование не даёт времени на то, чтобы устранить уязвимости, а слишком редкое – повышает риски реальных атак. Время, которое потребуется на проведение процедуры, тоже определяется в индивидуальном порядке, поскольку зависит от объёма проверяемой среды, количества членов команды, которая проводит тест, и его собственного вида.

Обычно Pentest проводят от двух до четырёх недель, иногда – меньше, иногда – больше, а вот на оценку, включая планирование и подготовку отчёта, уйдёт от четырёх до восьми недель. В результате заказчик получает максимально чёткую комплексную оценку текущей ситуации в сфере информационной безопасности с практическими рекомендациями по устранению уязвимостей.

Сравнение анализа защищённости ИТ-инфраструктуры и Pentest

Pentest отличается от анализа защищённости целями и способами проведения, а также получаемыми результатами. В чем разница?

Параметры

Pentest

Анализ защищённости

Разница

Цель проведения работ

Получить доступ к цифровому активу организации (web-сайту, приложению, информационной базе). В процессе выявляют наиболее лёгкий путь для хакера, но не все уязвимости.

Изучить сервис, приложение, часть сети и другие объекты для того, чтобы обнаружить максимальное количество уязвимостей для их эффективного устранения ещё до того, как система будет введена в эксплуатацию.

Pentest позволяет определить возможную глубину проникновения хакера в систему, а анализ защищённости – ширину уязвимостей, которые были обнаружены в процессе.

Методика проведения работ

Команда пентестеров полноценно имитирует взлом системы хакерами, причём либо непосредственно из неё, либо извне. Во втором случае может быть использован разный подход, когда пентестер располагает всей информацией о компании или не имеет её вообще.

В процессе проводится всесторонний анализ оборудования и программного обеспечения, системы безопасности и инфраструктуры сети (каналов связи).

Анализ предусматривает обнаружение как можно большего количества уязвимостей, а ещё лучше – их всех. В отличие от него Pentest не предусматривает поиска всех уязвимостей, а направлен на использование тех, которые были обнаружены, для построения атаки.

Результат

Возможность увидеть самое слабое звено системы безопасности.

Возможность увидеть все уязвимости с разбивкой по степени критичности.

Pentest выявляет уязвимости, которые могут быть использованы хакерами на практике, но при этом помимо них могут существовать и десятки или сотни других. Анализ, напротив, даёт максимально полный их перечень, но является очень трудоёмким и достаточно дорогим процессом.


Чтобы понять, какая именно услуга потребуется в вашем случае, нужно проанализировать ценные информационные ресурсы организации с точки зрения их ценности, рисков и ущерба в случае получения к ним доступа мошенников. После этого оптимально провести Pentest, чтобы проверить защиту наиболее ценных из них и последовать рекомендациям специалистов для устранения уязвимостей. Далее можно заказать анализ защищённости в узлах и приложениях, уязвимости которых были использованы пентестерами для взлома. Таким образом можно получить комплексную картину слабых мест и избавиться от уязвимостей. Если вы сомневаетесь в правильности выбора услуги, служба информационной безопасности компании «Онланта» проконсультирует вас. Мы изучим ваши ИТ-задачи и предоставим именно то решение, которое закроет все потребности по части ИТ-блока.

Была ли полезна статья?
Расскажите друзьям:
Evolution