1

Пентести за допомогою сканерів — за чи проти?

Сканування вразливостей є поширеною практикою в бізнесі, яка дозволяє перевірити та посилити контроль безпеки. Отже, часто можна почути, що воно може замінити тестування на проникнення. І хоча сканування вразливостей і тестування на проникнення начебто мають допомагати виявляти вразливості, насправді це два окремі та відмінні процеси.

 

Зазвичай організації намагаються скоротити витрати, обмежуючи пентести на сканування.

 

Хоча такий підхід є зрозумілим, проте не є рекомендованим. І тестування на проникнення, і сканування вразливостей є обов’язковими для підтримки належного рівня безпеки.

 

Отже, як виглядає гібридна модель тестування на проникнення з використанням сканерів? Які переваги такого підходу для максимального покриття та безпеки ваших веб-додатків?

 

Тестування на проникнення за допомогою сканерів — обман чи ні?

 

Традиційно більшість підприємств перевіряють безпеку своїх мереж та додатків за допомогою пентестів. Теоретично тестування на проникнення можуть проводити внутрішні червоні команди організацій, але на практиці доручають зовнішнім підрядникам.

 

Ручне тестування на проникнення є дуже ефективним для оцінки та виявлення слабких місць у додатках компанії через симуляції атак. Завдяки тестам на проникнення — за умови, що вони охоплюють максимальну кількість ресурсів — можна максимально знизити ризики для операційної системи та забезпечити застосування найкращих напрацювань у сфері безпеки.

 

Однак послуги з тестування на проникнення, що проводять досвідчені етичні хакери, можуть бути достатньо дорогими — настільки, що компанії можуть інвестувати в пентест, але обмежити його обсяг і, як наслідок, отримати висновки, які не відображають всі вразливості та недоліки, які варто усунути.

 

Крім того, тестування на проникнення — це процес, який потребує багато часу, через що між тестами виникають паузи, якими можуть скористатися зловмисники, оскільки їхня активність не припиняється. Тож саме в цьому випадку на допомогу приходять інструменти сканування.

 

Інструменти сканування виявляють та повідомляють про вразливості та неправильні конфігурації без подальшої експлуатації. Завдяки автоматизації та простим налаштуванням, все більше таких інструментів сканування ставатимуть доступнішими, оскільки ринок інструментів на базі машинного навчання продовжує зростати.

 

Отже, пентест за допомогою сканерів НЕ є обманом. Це можливість для компаній компенсувати дорогі ручні тести, які можна проводити лише час від часу, наприклад, під час змагань між червоними та синіми командами. Також варто пам’ятати, що людський інтелект неможливо замінити автоматизованим скануванням.

 

Чому команди з безпеки додатків повинні поєднувати інструменти сканування та ручне тестування.

 

Тестування на проникнення дійсно має численні переваги перед автоматичним скануванням вразливостей: воно включає щорічне  залучення тестувальників, які гарантують нуль хибнопозитивних спрацьовувань і можуть використовувати вектори атак, які використав би зловмисник у реальному житті.

 

На жаль, тестування на проникнення практично неможливо легко масштабувати та прискорити.

 

Пряме порівняння пентесту з автоматизованими інструментами сканування стосується лише інструментів динамічного тестування безпеки додатків або DAST, оскільки інструменти тестування статичної безпеки потребують доступу до вихідного коду, який зазвичай недоступний для пентестерів.

 

Таким чином, автоматизовані тести є привабливими, оскільки це швидкі та економічні інструменти, і бізнес може використовувати їх набагато частіше, ніж ручне тестування на проникнення. Вони також дозволяють автоматизувати масштабне тестування безпеки, оскільки компанії можуть інтегрувати їх у розробку та процес тестування.

 

Які мінуси?

 

Автоматичне сканування не може виявити логічні помилки, як це роблять пентестери вручну, але дозволяє позначати хибнопозитивні спрацьовування, які можуть переважити плюси масштабного автоматизованого тестування безпеки.

 

Безпека даних стає все більш важливою сферою уваги, і організації, які серйозно ставляться до своєї інформаційної безпеки, повинні постійно проводити автоматизоване сканування.

 

Однак інструменти автоматизованого сканування не можуть замінити логічне мислення та досвід реальної людини. Потрібно поєднувати автоматичне сканування з ручним пентестом, щоб виявити вразливості, які неможливо виявити в інший спосіб.

 

Джерело: bleepingcomputer.com

Related Posts

card__image

Що таке програми-вимагачі та як з ними боротися

Програми-вимагачі є однією з найнебезпечніших і найскладніших проблем безпеки, з якими стикаються організації. За прогнозами експертів з кібербезпеки програми-вимагачі атакуватимуть компанії, споживачів або пристрої кожні дві секунди та коштуватимуть жертвам $265 млрд. щорічно до 2031 року.   ЩО ТАКЕ ПРОГРАМА-ВИМАГАЧ?   Це варіант зловмисного програмного забезпечення, що позбавляє користувачів доступу до їхніх файлів або систем. […]

card__image

Уразливості нульового дня: кейси про наслідки від 17 членів Технологічної Ради Forbes

Уразливості нульового дня — це недоліки або слабкі місця в програмному забезпеченні чи операційній системі, про які розробник або постачальник не в курсі. Хакери першими виявляють ці вразливості, тож дають розробникам і постачальникам «нуль днів» на випуск патча. Уразливості нульового дня можуть стати не лише раптовим головним болем для розробників і постачальників, але й здійснювати […]

card__image

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?   Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:   МОЖНА КАЗАТИ:   Замість […]