30 марта 2023 г.
Что такое анализ защищенности и чем от отличается от пентеста? Методик несколько и каждая имеет свое направление и результат, но у всех единая цель — оценка состояния системы ИБ (или ее компонентов).
Зачем нужно анализировать систему безопасности?
Чтобы начать модернизацию ИБ и укрепить собственные рубежи, нужно знать, в каком состоянии находится вся система.
Результаты исследований обычно содержат ответы на вопросы:
- являются ли используемые средства защиты актуальными и эффективными,
- соответствует ли уровень защиты требованиям регуляторов,
- какие уязвимости системы могут привести к недопустимым событиям,
- каков уровень осведомленности сотрудников по вопросам ИБ,
- рекомендации по устранению уязвимостей либо подробная дорожная карта модернизации системы.
Среди услуг по оценке ИБ выделяют три: аудит информационной безопасности, анализ защищенности системы и пентест.
Пентест и анализ защищенности
Пентест или тест на проникновение — это санкционированный взлом системы или ее компонента, чтобы проверить имеющиеся уязвимости и средства защиты.
Цель пентеста — достижение поставленной задачи. При этом вопрос полноты обнаруженных уязвимостей не стоит. Пентестер определяет, может ли текущий уровень защищенности выдержать попытку вторжения потенциального злоумышленника.
Например, стоит задача нарушить доступность определенного сервиса или проникнуть из офисного сегмента в боевой, где расположены рабочие серверы. Исследование заканчивается, как только задача выполнена: специалист проводит оценку имеющихся средств защиты и уязвимостей.
Анализ защищенности — это более широкое понятие. Его цель — найти все известные и неизвестные уязвимости и недостатки, способные привести к нарушению конфиденциальности, целостности и доступности информации.
Примером задачи анализа защищенности может быть: провести комплексный анализ защищенности IT-ресурсов: веб-приложений, СУБД, ДБО, мобильных приложений и т.д. То есть результатом такого исследования будет максимально полный перечень всех уязвимостей плюс рекомендации по повышению уровня защищенности
Аудит информационной системы
Целью аудита также является оценка состояния информационной системы, однако акцент делается на соответствии требованиям, лучшим практикам или рекомендациям нормативных актов, стандартов и документации производителей оборудования и ПО.
То есть аудит может включать в себя анализ защищенности, но оценка будет проводиться с ориентиром на какой-то стандарт.
Например, задача для аудита может быть сформулирована так: «Проверить соответствие информационной системы Приказу № 21 ФСТЭК России» или «Проверить веб-серверы на соответствие рекомендациям CIS».
Оценка состояния системы — первый шаг к модернизации ИБ и повышению уровня защищенности.
В каких случаях требуется аудит:
- компания выросла, увеличилось количество сервисов и участников сети;
- зафиксирована утечка информации или множественные инциденты, нужно найти и устранить уязвимости;
- в штате организации нет сотрудников, ответственных за информационную безопасность,
- оценка состояния системы не производилась больше 12 месяцев,
- нужно проверить состояние системы на соответствие законодательным актам,
- нужно корректировать работу имеющихся средств ИБ в связи с уходом из России зарубежных поставщиков.
- есть план по модернизации системы ИБ.
Можно ли сделать свою инфраструктуру неуязвимой?
Усилия по обеспечению информационной безопасности направлены, скорее, не на возведение высоких стен по периметру, а на увеличение количества дозорных. К сожалению, любую стену можно покорить, методы хакеров не стоят на месте. Однако проникнуть в систему и не наследить в ней невозможно.
Усилив защиту, вы сможете обнаруживать преступника быстрее, чем он успеет нанести урон вашей компании.
Кроме того, важно определить направления, по которым будет строиться защита. Если продолжить аналогию с крепостью, то тщательнее защищать нужно тот край, где живет правитель, так как его гибель является самым недопустимым событием для государства.
Комплекс услуг по исследованию защищенности позволяет выявить уязвимости и выстроить пошаговый план по защите всей системы, предупредить развитие, в первую очередь, недопустимых событий.
Источник: Антон Морозов, старший специалист по информационной безопасности компании «Максофт»