Статистика показывает, что рынок тестирования на проникновение будет расти и к 2026 году его объем возрастет до 3 млрд. долларов. Причиной восходящего тренда является все большая необходимость в ужесточении нормативных требований регуляторов и увеличение количества кибератак, приводящих к финансовым и репутационным потерям. Не у каждой компании есть возможность обращаться к профессиональным системным интеграторам с лицензиями ФСТЭК и ФСБ. В этой статье мы расскажем подробный алгоритм по реализации требований регуляторов для снижения угроз информационной безопасности.
План действий
Для начала необходимо организовать рабочую группу, которая будет реагировать на инцидент, в случае реализации какой-либо угрозы или атаки против компании. Формирование рабочей группы и положение ее о работе должно быть формально закреплено в приказе. Кроме того, в команде должен быть назначен ответственный за взаимодействие с регуляторами.
Выполнив все условия, переходим к разработке плана мероприятий, анализу защищенности и выявлению уязвимостей, чтобы зафиксировать текущее положение дел. В результате такого анализа даются рекомендации, которые должны быть реализованы на следующем этапе непосредственного выполнения организационных и технических мер в соответствии с планом. Далее проводим повторный анализ защищенности, чтобы подтвердить успешно выполненные мероприятия.
Важно: в процессе работы ответственное лицо должно быть на связи с регуляторами, уведомлять их о проводимой работе, а по завершению доложить, что все мероприятия выполнены в сроки.
Анализ защищенности
В зависимости от целей и организационной структуры этапы анализа защищенности различаются.
Мы выделим несколько основных:
1. Сбор исходных данных, утверждение объема работ и границ проведения тестирования. На этом этапе определяются внешние IP-адреса и веб-сайты и обозначаются сроки тестирования. Закон устанавливает обязательное согласование IP-адресов и их документальное закрепление, а объекты КИИ проведение анализа должны обязательно согласовать с регулятором.
2. Внешнее тестирование. Автоматизированное сканирование уязвимостей позволяет обнаружить потенциальные уязвимости в системе. Во время сканирования используются те же инструменты и сканеры, которые могут применяться злоумышленниками. Эти инструменты могут включать утилиты, доступные на теневом рынке и сертифицированные сканеры, признаваемые регулятором. Результаты сканирования дают представление о возможностях, доступных злоумышленникам, и помогают организациям оценить риски и предпринять соответствующие действия для защиты своих систем.
Почему сканирования – это важно? Сканирование – это старт для атаки. Недальновидные злоумышленники будут использовать те же самые сканеры. Если в результате сканирования уязвимостей они не найдут ничего, за что можно зацепиться, то возможно дальше (если ваша организация не является целью) и не пойдут. А если все доступы открыты, у хакеров появится интерес, и они будут развивать атаку дальше. Поэтому сканирование уязвимостей хоть и малозатратное решение, но приносит существенный результат.
3. Внутреннее тестирование на проникновение. Оно показывает, как работает служба информационной безопасности внутри компании и позволяет выявить другие виды нарушений ИБ. Например, проверить корпоративные wi-fi сети или сделать рассылку фишинговых писем.
Бежать за новыми или использовать имеющиеся средства защиты?
Сложность в выборе эффективного отечественного решения и санкции со стороны западных вендоров затрудняются быстрое внедрение новых решений. Поэтому нужно использовать по максимуму имеющиеся средства на вашем предприятии, а также выполнить харденинг всех средств. Как правило, такая работа позволяет закрыть большинство необходимых мер по информационной безопасности.
Важно взаимодействовать и обмениваться опытом внутри отрасли. К примеру, в нашей компании с заказчиками заключается соглашение о взаимодействии по вопросам противодействия компьютерным атакам. Оно ни к чему не обязывает, но благодаря ему предприятия всегда в курсе о происходящем в мире компьютерной безопасности и даже могут провести облегченные версии сканирования уязвимостей.
Подробнее о тестировании на проникновение можно узнать тут.