Как часто и тщательно необходимо проводить пентест?

Во времена, когда каждую неделю, кажется, разгорается новый скандал, связанный с инцидентами в сфере ИТ-безопасности, многие ИТ-менеджеры задаются вопросом, как часто им следует подвергать свои собственные системы испытаниям. В конце концов, чтобы быть на шаг впереди злоумышленников, необходимо знать, где находятся ваши собственные слабые места. Тесты на проникновение являются эффективным средством выявления и устранения критических уязвимостей до того, как они рано или поздно станут проблемой. В этой статье даются рекомендации о том, как часто и когда вы должны заказывать тесты на проникновение.

Необходима индивидуальная программа пентеста

Не существует однозначного ответа на вопрос о том, как часто компаниям следует проводить пентест. Наиболее целесообразно разработать программу тестирования на проникновение, которая будет соответствовать вашим собственным потребностям в области ИТ-безопасности. Ваша индивидуальная программа тестирования на проникновение должна отвечать на следующие вопросы:

• Какие виды тестирования на проникновение необходимы?
  (пентест внутренней/внешней инфраструктуры, пентест веб-приложений, пентест IoT-устройств и т.д.).
• Насколько обширными должны быть эти тесты и, если применимо, необходимо ли в качестве дополнения проводить сканирование уязвимостей?
• Через какие промежутки времени необходимо проводить пентесты?
• В каких ситуациях следует проводить экстраординарные пентесты?

В зависимости от множества индивидуальных факторов, ваша программа тестирования на проникновение будет довольно обширной или довольно узкой. На объем программы тестирования на проникновение влияют следующие факторы:

• Размер сети и компании
• Критичность данных, приложений и систем в вашем ИТ-ландшафте
• Уровень угрозы в отрасли компании (финансовые услуги, здравоохранение, CRITIS …)
• Существующие мандаты на соответствие или аудит (ISO 27001, PCI DSS, …)
• Ваш доступный бюджет на обеспечение ИТ-безопасности

Ежегодный внешний пентест как отправная точка для вашей проверки системы ИБ

Тест на проникновение во внешнюю инфраструктуру, проводимый раз в год, всегда должен быть частью вашей программы проверки системы безопасности. Все системы, доступные через Интернет, такие как брандмауэры, VPN, DNS, системы электронной почты и файловые серверы, проверяются на наличие уязвимостей. Кроме того, для крупных компаний (примерно от 100 сотрудников) следует проверить внутренние системы (так называемый тест на проникновение во внутреннюю инфраструктуру). Чем крупнее компания, тем важнее становится проверка внутренних систем, поскольку угрозы изнутри становятся все более вероятными с ростом размера компании.

Ситуации, требующие внепланового тестирования на проникновение

Существуют некоторые особые ситуации, требующие проведения внепланового теста на проникновение.
К ним относятся, например:

• Внесение серьезных изменений в сеть (но будьте осторожны и не делайте этого до завершения изменений, иначе уязвимости безопасности могут вновь проявиться сразу после проведения пентеста)
• Возникновение инцидента информационной безопасности
• Развертывание новых системных приложений

Заключение

Как часто, насколько тщательно и в какой момент времени компания должна проводить тесты на проникновение, зависит от многих индивидуальных факторов. Хорошо продуманная программа тестирования на проникновение, которая регулярно адаптируется к ситуации в компании, является ключом к поддержанию надлежащего высокого уровня безопасности в любое время. Ежегодное тестирование на проникновение во внешнюю инфраструктуру должно быть частью вашей программы в любом случае.