Зачем нужны автопентесты?
Мы продолжаем разбирать практические инструменты в ИБ. Сегодня поговорим об автопентестах на примере PT Dephaze — для чего они нужны и как часто их проводить. Читайте интервью с Антоном Соловьевым, руководителем направления Positive Technologies в MONT.
Что дает автопентест и почему нельзя обойтись ИБ-отделом?
Главная проблема кибербезопасности — как сбалансировать затраты. Решений много, специалистов на рынке не хватает, а их стоимость высока. Компании отдают приоритет либо закупкам (и получают простой необслуженный софт), либо найму людей (и те работают без инструментов).
Автопентест помогает найти золотую середину. Он обеспечивает контроль защищенности, выявляет уязвимости после обновлений или изменений конфигурации, снижает нагрузку на ИБ-специалистов. Благодаря этому мы выявляем самые проблемные зоны и инвестируем именно в них. При этом автопентест дешевле ручного при схожем охвате типовых сценариев атак.
Кому и когда переходить на автопентесты?
В первую очередь — крупным компаниям с разветвленной инфраструктурой. Решение подойдет бизнесу, который выстраивают ИБ-процессы с нуля, и тем, кто подпадает под регуляторные требования.
Переходить стоит, когда нужно увеличить частоту проверок без роста затрат, оперативно реагировать на изменения и снизить рутину для дорогих специалистов.
Как часто их проводить?
Многое зависит от ИБ-зрелости компании. Некоторые даже не слышали об автопентестах и проводят ручные пентесты всего раз в год. Их можно понять: вручную готовить и запускать тесты дорого и долго. Автопентесты же можно проводить непрерывно.
Есть базовые рекомендации, когда тестирование необходимо:
после внедрения нового ПО, сервисов и аппаратных решений;
после значительных изменений версий ОС, библиотек;
в случае слияний компаний и интеграции ИТ-систем.
Многие компании соблюдают эти рекомендации. Но процент пренебрегающих этим еще высок. Часто к пентестам обращаются после обнаружения ИБ-инцидентов или компрометации данных, а это слишком поздно.
Где автопентест незаменим, а где без человека не обойтись?
Автопентест лучше всего работает для частых и массовых проверок большого количества устройств, имитации типовых атак и проверки настроек СЗИ.
Человек же программирует нестандартные векторы атак, анализирует бизнес-логику, интерпретирует результаты и выстраивает стратегию.
Как PT Dephaze гарантирует безопасность проверки?
Система запрашивает подтверждение потенциально опасных действий. Это значит, что все операции, которые могут нанести ущерб инфраструктуре, требуют одобрения ИБ-специалистов.
Также можно кастомизировать область проведения проверки. То есть, мы вручную задаем целевые узлы и ограничиваем область сканирования, чтобы сосредоточиться на приоритетных точках инфраструктуры.
Может ли автопентест предотвратить реальный инцидент?
Я думаю, что 90% всех инцидентов ИБ можно предотвратить с его помощью. Конечно, при условии правильных действий после завершения.
Автопентест — это не волшебная таблетка, а инструмент, который дает критически важную информацию. Но без правильной реакции и комплексного подхода она бесполезна.
#ИБ