Стресс-тесты для безопасности: изменение правил игры
Скандалы, связанные с кражей данных клиентов, и новости о крупных утечках информации стимулируют бизнес инвестировать в безопасность: покупать новые технические решения, разрабатывать планы реагирования на инциденты, обучать персонал. Однако когда весь комплекс необходимых мер реализован, у собственников бизнеса рано или поздно возникает вопрос: как убедиться в том, что принятые меры эффективны и достаточны? Здесь и появляется потребность в пентесте, стресс-тесте или киберразведке.
В чем разница между этими методами и зачем они нужны, разберем в нашем материале.
Стресс-тест
Как правило, говоря «стресс-тест», подразумевают совокупность методов оценки безопасности компьютерных систем или сетей. Стресс-тестирование более широкое понятие, чем пентест, и включает и тестирование на проникновение — как один из методов оценки безопасности информационной системы путем моделирования атаки злоумышленников.
Сценарии стресс-теста могут быть очень разными: атаки на отказ в обслуживании, социальная инженерия, тестирование на проникновение — словом, что угодно, в зависимости от пожеланий заказчика.
Главная задача этих тестов — выявить проблемы, на которые вы по каким-то причинам не обратили внимания либо уделили недостаточное количество времени. Информация, получаемая исполнителями в ходе работы, как правило, бывает довольно чувствительной для бизнеса, и сразу возникает вопрос доверия. Фактически при проведении таких работ вы даете сторонней организации карт-бланш на взлом своей инфраструктуры. Разумеется, весь процесс заблаговременно согласован и задокументирован, а в случае возникновения проблем все незаконные действия по передаче информации о найденных уязвимостях третьим лицам будут иметь последствия для нарушителей, однако, соизмеряя риски, компании часто отказываются от стресс-тестов. В таких случаях, когда вопрос доверия подрядчикам не решен однозначно, можно остановиться на услуге под названием «киберразведка».
Киберразведка
Кибераразведка — это процедура по сбору данных и их анализу. Что обычно интересует: какие вредоносные программы могут быть использованы для взлома вашей инфраструктуры, данные об уже случившихся утечках информации, о поиске инсайдеров в вашей сети, о том, кто покупает сведения о вашей компании, и другие. Анализ полученной информации может показать, что конкретно сейчас вы никого не интересуете, всё в порядке, а затем через неделю на вашем корпоративном сайте вместо привычного содержимого появляется изображение или текст провокационного содержания. Киберразведка не сработала? Не совсем так, скорее всего, вы стали жертвой кибервандализма.
Кибервандализм
Злоумышленники не всегда атакуют какие-то конкретные цели. Очень часто происходит так называемый кибервандализм, когда ломают просто то, что ломается. Например, появляется информация об уязвимости в каком-то популярном программном продукте. После этого можно не сомневаться, что будут атакованы все копии этого продукта, доступные в Интернете. Зачем? Просто потому, что можно это сделать.
Кстати, если вы уже стали жертвой подобной атаки, можно подключать своего внутреннего конспиролога и размышлять, кому вы, фигурально выражаясь, перешли дорогу, что на вас заказали атаку, но, скорее всего, ответа вы не найдете.
Очень часто эти атаки проводят боты, а не живые люди. Можно провести несложный эксперимент и выложить куда-нибудь на github.com код продукта, с вшитым туда паролем или API-ключом (даже неправильным). Не пройдет и часа, как вас начнут атаковать с помощью этих данных, именно потому, что подобные утечки отслеживаются в автоматическом режиме.
Противостоять кибервандализму или целенаправленным атакам и разбираться с их последствиями — сложно, однако, учитывая реалии, наверняка можно дать совет собственникам бизнеса: «Не стоит ждать пока стресс-тест вашим система проведут за вас, лучше сделать это самим».
Правила игры в информационной безопасности меняются непрерывно, совершенствуются технические средства, появляются новые методы и способы атак, развивается искусственный интеллект, а также растет доступность информации в сети Интернет — все это только увеличивает риски ИБ. Хорошая новость заключается в том, что их можно контролировать. Компаний, оказывающих услуги тестирования на проникновение, на рынке довольно много. Можно обратиться к крупному интегратору, для которого информационная безопасность просто одно из направлений работы или пойти в специализированную компанию, занимающуюся исключительно кибербезопасностью. Главное — не пренебрегать этой необходимостью и не пытаться все сделать своими силами, ведь в качестве услуг в области информационной безопасности можно быть уверенным только при условии, что оказывают их настоящие профессионалы.
Опубликовано 23.08.2022