20:00 / 17 февраля 2025
Аудит ИБ или пентест: что выбрать компании? - IT Speaker, новости информационных технологий
Директор по развитию направления информационной безопасности в компании «Максофт»
Первый шаг в построении надежной защиты — оценка ее реального состояния. Как специалисты анализируют защищенность, и чем аудит ИБ отличается от пентеста? Разобраться в вопросе редакции IT Speaker помогает эксперт многоотраслевого системного интегратора «Максофт».
Зачем нужен анализ защищенности
Аудиты и анализы защищенности — это своеобразная инвентаризация, проверка на прочность, чтобы по ее результатам принимать решение о векторе модернизации. Результаты исследований должны содержать ответы на вопросы:
Являются ли используемые средства защиты актуальными и эффективными;
Соответствует ли уровень защиты требованиям регуляторов;
Какие уязвимости системы могут привести к недопустимым событиям;
Каков уровень осведомленности сотрудников по вопросам ИБ;
Какие рекомендации по устранению уязвимостей или подробная дорожная карта помогут модернизации системы.
Методики оценки делятся на три группы: аудит информационной безопасности, анализ защищенности системы и пентесты.
Пентест и анализ защищенности
Пентест — это имитация проникновения в систему по всем возможным сценариям, чтобы выявить слабые места инфраструктуры, а потом устранить их. Цель пентеста — достижение поставленной задачи, а она может быть очень узкой.
Пентестер определяет, может ли текущий уровень защищенности выдержать попытку вторжения потенциального злоумышленника. Например, стоит задача нарушить доступность определенного сервиса или проникнуть из офисного сегмента в «боевой», где расположены рабочие серверы.
Задача выполнена, и исследование завершается. Специалист предоставляет отчет о том, могут ли средства защиты в компании справится с задачей.
Анализ защищенности — это более широкое понятие. Цель анализа — обнаружение всего спектра уязвимостей, которые могут привести к потере информации. Пример задачи на анализ защищенности — проведение комплексного анализа защищенности IT-ресурсов (веб-приложений, СУБД, ДБО, мобильных приложений и т.д.).
Результатом такого исследования станут предоставление максимально подробного перечня всех найденных уязвимостей, а также рекомендации по повышению уровня защищенности.
Итоги пентестов Positive Technologies показали, что 96% организаций не защищены от проникновения внешнего злоумышленника.
Аудит информационной системы
Аудит — это тоже анализ защищенности информационной системы, но внимание акцентируют на соответствие требованиям регулятором или лучшим практикам отрасли. Таким образом, аудит включает в себя анализ защищенности, но оценка будет проводиться с опорой на определенный стандарт.
Например, задача для аудита может быть сформулирована так: «Проверить соответствие информационной системы Приказу №21 ФСТЭК России» или «Проверить веб-серверы на соответствие рекомендациям CIS». Как правило, такой тип оценки нужен объектам КИИ.
В каких случаях требуется оценка состояния информационной системы
В компании появился новый филиал, увеличилось количество участников сети;
Зафиксированы вторжение в систему, утечка информации или нанесен урон в результате кибератаки;
В штате организации нет сотрудников, ответственных за информационную безопасность;
Оценка состояния системы не производилась больше 12 месяцев;
Состояние системы требуется привести в соответствие с законодательными актами;
Необходима коррекция работы средств защиты в связи с уходом из России иностранных вендоров;
Необходимо реализовывать план по совершенствованию системы ИБ.
Можно ли сделать инфраструктуру неуязвимой
Аудиты позволяют выявить все уязвимости в системе безопасности — «бумажной» и реальной. Но можно ли создать такую систему, которую невозможно будет взломать извне? К сожалению, любую, даже самую укрепленную крепость, можно покорить, поэтому все усилия по обеспечению информационной безопасности должны сводиться увеличению количества дозорных.
В идеале система должна быть такой, чтобы ее взлом обходился дороже, чем предполагаемая прибыль. Кроме того, надежная защита помогает быстро обнаружить вторжение, не позволяя ему совершить преступление.
Второй важный нюанс — специалисты определяют векторы модернизации ИБ. Если развить аналогию с крепостью, то целесообразно укрепить тот фланг, с которого находится резиденция короля, потому что его гибель будет самым недопустимым событием для всего государства.
Выбирая средство защиты, нужно учитывать несколько факторов:
Результат аудита;
Степень зрелости компании и ее специфика;
Наличие специалистов и их квалификация;
Цель;
Бюджет.
Эти факторы обычно учитываются при составлении рекомендаций по результатам пентестов и аудитов защищенности — тем самым это помогает выстроить по-настоящему надежную систему информационной безопасности.
Важно отметить, что ИБ-эксперты не будут предлагать небольшой компании многоуровневые сложные средства защиты информации (СЗИ), в которых нет необходимости: компания не может «потянуть» их финансово или технически.
***
«Неуязвимость» предполагает ряд услуг и решений, которые помогут закрыть вопрос безопасности раз и навсегда. Но, к сожалению, это невозможно. Надежная система — та, где руководитель держит руку на пульсе, следит за законодательными нововведениями, обновляет перечень решений и регулярно проводит оценку состояния системы.
Поделиться новостью
20:00 / 17 февраля 2025
19:40 / 17 февраля 2025
19:30 / 17 февраля 2025
19:20 / 17 февраля 2025
19:00 / 17 февраля 2025
18:00 / 17 февраля 2025
16:00 / 17 февраля 2025
15:00 / 17 февраля 2025