Сканирование уязвимостей и тестирование на проникновение (пентест) – не тождественные понятия. Они предназначены для решения разных задач, но, к сожалению, многие их путают.
Сканирование уязвимостей не может заменить тестирования на проникновение, а пентест сам по себе не может обеспечить безопасность всей сети. И то, и другое важно на соответствующих уровнях. Обе меры необходимы при анализе киберрисков и требуются для соответствия таким стандартам, как PCI, HIPAA, ISO 27001 и т.д.
Принципиальные отличия пентеста и сканирования уязвимостей
При тестировании на проникновение используются неизвестные уязвимости в архитектуре вашей системы для того, чтобы оценить риск взлома злоумышленниками.
Сканирование уязвимостей (или оценка) проверяет известные уязвимости и генерирует отчет о подверженности риску.
Выбор нужного вам инструмента зависит в основном от трех факторов:
- Область применения
- Риск и критичность активов
- Стоимость и время
Тестирование на проникновение
Тестирование на проникновение является целенаправленным. Всегда присутствует человеческий фактор. Автоматизированного тестирования на проникновение не существует – пентест требует использования специальных инструментов, иногда очень большого количества. Для оперирования последними требуется очень опытный специалист. Хороший тестировщик создает сценарий, изменяет специфику атаки или редактирует параметры инструментов, которые использует. Всё это делается для обеспечения максимальной эффективности взлома. Тестировщики часто используют новую уязвимость или обнаруживают уязвимости, о которых ранее не было известно службе безопасности.
Атака может проводиться на уровне всего приложения или сети, но обычно пентест проводится в отношении отдельной функции, объекта или ряда объектов. Можно, конечно, охватить всю инфраструктуру и приложения, но в реальности это непрактично из-за огромных затрат средств и времени. Вы сами определяете необходимый масштаб на основе ряда факторов, которые базируются на потенциальном риске и важности объекта.
Тратить много денег на объекты с низким уровнем риска, на взлом которых может уйти несколько дней, непрактично. Тестирование на проникновение требует высокой квалификации специалистов, поэтому оно дорогостоящее.
Тестирование на проникновение обычно может занимать от нескольких дней до нескольких недель. Рекомендуется проводить его раз в год.
Сканирование уязвимостей
Это понятие подразумевает выявление потенциальных уязвимостей в сетевых устройствах, таких как брандмауэры, маршрутизаторы, коммутаторы, серверы, а также в приложениях. Оно автоматизировано и направлено на поиск потенциальных и известных уязвимостей на уровне сети или приложения.
В данном случае взлом и атаки на сеть не применяются. Сканеры уязвимостей только выявляют потенциальные угрозы и «дыры» в системе. Следовательно, они не предназначены для поиска уязвимостей так называемого «нулевого дня».
Сфера применения сканирования уязвимостей охватывает весь бизнес, требуя наличия автоматизированных инструментов для управления большим количеством ресурсов. По своему охвату оно шире, чем тестирование на проникновение. Для эффективного использования инструментария для сканирования уязвимостей необходимы специальные знания. Обычно его запускают администраторы или сотрудники службы безопасности с хорошим знанием сетевых технологий.
Стоимость сканирования уязвимостей ниже по сравнению с тестированием на проникновение, и это детективный контроль, а не профилактический, как пентест.
Заключение
Как сканирование уязвимостей, так и тестирование на проникновение могут быть использованы в процессе анализа киберрисков и помочь определить меры контроля, наиболее подходящие для бизнеса, отдела или практики. Все они должны работать вместе для снижения риска кибербезопасности. Очень важно знать разницу; каждый из них важен и имеет разные цели и результаты.
Обучение также важно, поскольку предоставление инструментов сотрудникам службы безопасности не гарантирует абсолютную безопасность среды. Отсутствие знаний по эффективному использованию средств защиты и контроля представляет собой большую угрозу.
Вложения в обучение сотрудников службы безопасности однозначно окупятся с точки зрения качества, хорошего представления о состоянии безопасности организации, а также сокращения затрат и времени в дальнейшем.