Сканування вразливостей є поширеною практикою в бізнесі, яка дозволяє перевірити та посилити контроль безпеки. Отже, часто можна почути, що воно може замінити тестування на проникнення. І хоча сканування вразливостей і тестування на проникнення начебто мають допомагати виявляти вразливості, насправді це два окремі та відмінні процеси.
Зазвичай організації намагаються скоротити витрати, обмежуючи пентести на сканування.
Хоча такий підхід є зрозумілим, проте не є рекомендованим. І тестування на проникнення, і сканування вразливостей є обов’язковими для підтримки належного рівня безпеки.
Отже, як виглядає гібридна модель тестування на проникнення з використанням сканерів? Які переваги такого підходу для максимального покриття та безпеки ваших веб-додатків?
Тестування на проникнення за допомогою сканерів — обман чи ні?
Традиційно більшість підприємств перевіряють безпеку своїх мереж та додатків за допомогою пентестів. Теоретично тестування на проникнення можуть проводити внутрішні червоні команди організацій, але на практиці доручають зовнішнім підрядникам.
Ручне тестування на проникнення є дуже ефективним для оцінки та виявлення слабких місць у додатках компанії через симуляції атак. Завдяки тестам на проникнення — за умови, що вони охоплюють максимальну кількість ресурсів — можна максимально знизити ризики для операційної системи та забезпечити застосування найкращих напрацювань у сфері безпеки.
Однак послуги з тестування на проникнення, що проводять досвідчені етичні хакери, можуть бути достатньо дорогими — настільки, що компанії можуть інвестувати в пентест, але обмежити його обсяг і, як наслідок, отримати висновки, які не відображають всі вразливості та недоліки, які варто усунути.
Крім того, тестування на проникнення — це процес, який потребує багато часу, через що між тестами виникають паузи, якими можуть скористатися зловмисники, оскільки їхня активність не припиняється. Тож саме в цьому випадку на допомогу приходять інструменти сканування.
Інструменти сканування виявляють та повідомляють про вразливості та неправильні конфігурації без подальшої експлуатації. Завдяки автоматизації та простим налаштуванням, все більше таких інструментів сканування ставатимуть доступнішими, оскільки ринок інструментів на базі машинного навчання продовжує зростати.
Отже, пентест за допомогою сканерів НЕ є обманом. Це можливість для компаній компенсувати дорогі ручні тести, які можна проводити лише час від часу, наприклад, під час змагань між червоними та синіми командами. Також варто пам’ятати, що людський інтелект неможливо замінити автоматизованим скануванням.
Чому команди з безпеки додатків повинні поєднувати інструменти сканування та ручне тестування.
Тестування на проникнення дійсно має численні переваги перед автоматичним скануванням вразливостей: воно включає щорічне залучення тестувальників, які гарантують нуль хибнопозитивних спрацьовувань і можуть використовувати вектори атак, які використав би зловмисник у реальному житті.
На жаль, тестування на проникнення практично неможливо легко масштабувати та прискорити.
Пряме порівняння пентесту з автоматизованими інструментами сканування стосується лише інструментів динамічного тестування безпеки додатків або DAST, оскільки інструменти тестування статичної безпеки потребують доступу до вихідного коду, який зазвичай недоступний для пентестерів.
Таким чином, автоматизовані тести є привабливими, оскільки це швидкі та економічні інструменти, і бізнес може використовувати їх набагато частіше, ніж ручне тестування на проникнення. Вони також дозволяють автоматизувати масштабне тестування безпеки, оскільки компанії можуть інтегрувати їх у розробку та процес тестування.
Які мінуси?
Автоматичне сканування не може виявити логічні помилки, як це роблять пентестери вручну, але дозволяє позначати хибнопозитивні спрацьовування, які можуть переважити плюси масштабного автоматизованого тестування безпеки.
Безпека даних стає все більш важливою сферою уваги, і організації, які серйозно ставляться до своєї інформаційної безпеки, повинні постійно проводити автоматизоване сканування.
Однак інструменти автоматизованого сканування не можуть замінити логічне мислення та досвід реальної людини. Потрібно поєднувати автоматичне сканування з ручним пентестом, щоб виявити вразливості, які неможливо виявити в інший спосіб.
Джерело: bleepingcomputer.com
