Человеческий фактор

Пентест айти

Однако имитация действий продвинутого пользователя


о новых статьях

Пентест как метод обоснования мероприятий по информационной безопасности


Когда руководство компании не видит необходимости в мероприятиях по информационной безопасности, то выделяет средства, недостаточные для реального решения проблемы. Общей практикой, особенно в период экономической нестабильности, становится латание дыр в безопасности подручными средствами.
Именно в кризисных ситуациях обостряются конкурентные войны, применяются жесткие методы, направленные на дестабилизацию деятельности компаний-конкурентов. проверить безопасность Противодействовать этим угрозам можно, лишь выстроив четкую и эффективную систему информационной безопасности.
Как же разрешить противоречие между сокращением финансирования на мероприятия по информационной безопасности (ИБ) и возрастающим числом угроз?
Остановимся на нестандартном применении услуги тестирования на проникновение для обоснования бюджета профильного подразделения перед руководством одной из компаний-клиентов.
Дано: компания занимается оказанием услуг в нескольких регионах РФ, штат несколько сотен сотрудников.
В компании существует ИТ-подразделение, которое получает достаточное финансирование, полностью укомплектовано людьми. аудит безопасность Также есть подразделение информационной безопасности, состоящее из двух сотрудников. Задач по ИБ настолько много, что силами двух человек решить их в разумные сроки проблематично. влияние человеческого фактора на безопасность Кроме того, финансирование на покупку ПО и оборудования, связанного с ИБ, оставляет желать лучшего.
Что делаем: выясняем, что директор не выделяет дополнительные ставки для ИБ-отдела и скромно финансирует закупку ПО и оборудования, связанного с ИБ, потому что не понимает, зачем нужно сейчас вкладываться в обеспечение информационной безопасности компании.
Предлагаем: наглядно показать руководству компании, к чему может привести практика недофинансирования мероприятий по информационной безопасности.
Решение: тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест).
Как правило, тест на проникновение проводится после того, как сис информационной безопасности построена, чтобы удостовериться в ее устойчивости. В любой другой ситуации логичнее было бы провести сначала аудит, выстроить систему и лишь затем проводить пентест. Однако, как мы помним, руководство не готово серьезно финансировать мероприятия, связанные с информационной безопасностью. безопасность и человеческий фактор Поэтому решено было использовать пентест как «красную тряпку».
Нами был выбран вариант тестирования на проникновение по методу белого ящика, когда специалистам, оказывающим услугу, предоставляются все возможные данные об информационной системе компании. безопасность веб сервера В данном случае задачами пентеста было:

    • выявить возможность похитить информацию из сети компании;

    • найти источники, которые могли бы дестабилизировать деятельность компании.



    Реальная оценка защищенности сети от специалистов проекта Контур.Безопасность
    Результат пентеста. Тестирование показало, что периметр сети компании защищен, угрозу могут представлять лишь таргетированные атаки.
    Если же получить права доступа в сеть с уровнем хотя бы рядового сотрудника, то изнутри сети можно похитить практически любую ценную для компании информацию. Был выявлен целый ряд уязвимостей. В качестве примера приведем одну из самых серьезных.
    Среди приоритетных задач компании сохранение клиентской базы. проверить безопасность сервера При беглом взгляде создавалось впечатление, что похитить эти данные можно, лишь используя камеру мобильного телефона при просмотре самой базы на мониторе компьютера.
    Однако имитация действий продвинутого пользователя позволила доказать, что доступ к данным изнутри сети возможен. Рядовому пользователю достаточно использовать сканер уязвимостей для анализа сервера, на котором хранится вся база клиентов. безопасность linux сервера Сканер сам подсказал пользователю, как нажатием кнопки выполнить SQL-инъекцию, чтобы получить доступ к базе с правами администратора. Данной уязвимостью могли воспользоваться инсайдеры, что повлекло бы значительный ущерб для бизнеса.
    К сожалению, подобная картина характерна для многих российских компаний.
    Причиной такой ситуации чаще всего становится конфликт подразделений. ИБ-подразделение создается по инициативе руководителя компании, но структурно подчиняется ИТ. В итоге ИТ-подразделение воспринимает сотрудников ИБ-отдела как бумагомарателей, которые создают непонятные и ненужные регламенты. безопасность серверов баз данных Представители ИБ воспринимают сотрудников ИТ-служб как подразделение, которое выполняет задачи по автоматизации бизнес-процессов, но никак не задумывается о безопасности. В результате службы, которые должны работать на одну задачу, мешают работе друг друга.

    Как были использованы результаты тестирования на проникновение


    Результаты тестирования с описанием методики и возможных последствий реализации уязвимостей были представлены руководству. Кроме того, были предложены меры по нейтрализации обнаруженных угроз. После изучения материалов руководство компании приняло следующие решения:

      • изменить штатную структуру ИБ-подразделение напрямую подчиняется руководителю компании;

      • делегировать часть задач из области ИБ ИТ-подразделению, таким образом, вся деятельность в области ИТ должна согласовываться с отделом ИБ;

      • выделить дополнительную ставку специалиста ИБ;

      • пересмотреть финансирование ИТ- и ИБ-подразделений.


      Похожие статьи Pentest

      • Тест на проникновение в корпоративную информационную систему (пентест)

        Contents Виды выполняемых ЭЛВИС-ПЛЮС тестов на проникновение: Результат проведения пентеста отчёт, который содержит: Contents Виды выполняемых ЭЛВИС-ПЛЮС...

      • Пентест стоимость

        30 000 веб сайтов взламываются ежедневно с целью хищения личных данных или дальнейшего внедрения в корпоративные сети и дата-центры владельцев....

      • Пентест стоимость

        Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия...

      • Тестирование на проникновение

        Тестирование на проникновение (если оно необходимо в рамках проекта, например, для доказательства актуальности отдельных угроз) предлагаем проводить с...

      • Хакинг и тестирование на проникновение

        В наше время Интернет начал развиваться настолько бурными темпами, проник во все сферы нашей жизнедеятельности: личная жизнь, учёба, покупки, бизнес и...