Аудит и анализ защищенности vs пентест — как понять, что вам нужно?
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.