Разработчики сайта, а также собственные сотрудники по кибербезопасности компании не могут в полной мере обеспечить безопасность веб-ресурса или ИТ-инфраструктуры организации — для этого прибегают к услугам «белых хакеров».
Что такое внешний аудит безопасности
Чтобы удостовериться в надежности киберзащиты сайта и ИТ-инфраструктуры, а также найти «дыры», зачастую прибегают к такой услуге, как аудит информационной безопасности. Он включает в себя не только тесты на проникновение на сайт, но и анализ используемой ИТ-инфраструктуры.
«Аудит информационной безопасности — это возможность понять, насколько хорошо или плохо защищены ИТ-активы компании», — заявляется на сайте ITGLobal.com. После проверки будет составлен отчет о выявленных слабых местах и несоответствиях необходимым стандартам кибербезопасности.
В этом случае специалисты киберподразделения ITGLobal Security проверят следующие компоненты, используемые клиентом: сети, операционные системы, системы виртуализации, СУБД, средства защиты информации, процессы ИБ, помещения с оборудованием. При этом будет учтена специфика клиента.
Зачем нужны тесты на проникновение
Важной частью аудита информбезопасности являются тесты на проникновение (т.н. pentest). Выполняются они внешними подрядчиками, так называемыми «белыми хакерами». Их задача: взломать сайт или корпоративную сеть , имитируя атаки злоумышленников.
Тесты нужны как для поиска уязвимостей и дыр, которые способны нанести финансовые и репутационные потери, а также для соответствия определенным стандартам безопасности. Данные нормативы обязательны для некоторых видов деятельности.
Как выполняется пентест
Специалисты сначала изучают «жертву», а затем пытаются проникнуть в ее корпоративную сеть. Для этого используются хакерские программы, методы социального инжиниринга, известные уязвимости, открытые порты, настройки доступа и т.п.
Проводить такой тест нужно только при помощи внешних подрядчиков, так вы получите максимально полезную отдачу. В редких случаях компании нанимают реальных хакеров или хакерские коллективы. Им обещают хорошую премию за найденные уязвимости.
Тестировщики обычно используют один или несколько общепризнанных мировых методик и стандартов. Это: OSSTMM, NIST SP800-115, OWASP, ISSAF и PTES. Что касается частоты проводимых пинтестов, то эксперты рекомендуют проводить их после любых значимых изменений в ИТ-инфраструктуре, но не реже каждых полугода.