Noutati

Gestionarea riscurilor cu ajutorul Pentest-ului

Cum poate fi îmbunătățită gestionarea riscurilor unei companii cu ajutorul testării automate a penetrării

Steve Bakewell, Pcysys

Un cadru de gestionare a riscurilor pentru companii (ERM) reprezintă o colecție de roluri, procese și sisteme care gestionează riscurile ce ar putea afecta obiectivele de afaceri. Dacă luați în considerare gama de tehnologii care stau la baza proceselor de afaceri care realizează aceste obiective, este normal să acceptați că aceste tehnologii sunt și cele care introduc riscuri pentru îndeplinirea obiectivelor strategice.

Managementul riscurilor unei companii consolidează diferitele tipuri de riscuri la care este expusă o organizație, precum: risc de credit, risc de oportunitate și risc operațional (unde este situat de obicei și riscul IT). Ne permite să conectăm obiectivele de afaceri cu riscurile și, în final, cu controalele pe care le implementăm.

O parte importantă a acestui cadru o reprezintă evaluarea riscurilor și planul de remediere a acestora. Acest lucru ne permite să:

  • Identificăm amenințările
  • Calculăm riscurile
  • Creăm un plan de remediere a riscurilor
  • Acolo unde este prevăzut de plan, să identificăm și să implementăm controale

Bineînțeles că există și alte opțiuni, precum transferul riscului (în general prin utilizarea asigurării) însă, de această dată ne vom concentra asupra controalelor.

Odată identificate, proiectate, implementate și configurate, controalele trebuie validate, în funcție de anumite specificații. Ar putea fi validarea unui control procedural prin revizuire manuală sau validarea faptului că acea configurație a unui control tehnic este în conformitate cu o anumită politică, cum ar fi cadrul CSI. Una dintre tehnicile cheie de validare este testul de penetrare, care poate fi efectuat atât înainte de implementarea sistemului, cât și într-un anumit ritm pentru a îndeplini cerințele de conformitate sau de politică. Scopul testului de penetrare este, desigur, să valideze dacă, după ce toate celelalte verificări și solduri sunt finalizate, un atacator rău intenționat poate pătrunde în sistemul dvs.

O evoluție a software-ului de testare a penetrării automatizează ceea ce a fost până nu demult, un proces manual. PenTera by Pcysys permite unei companii să stabilească ritmul testării pentru a se potrivi nevoilor operaționale. Este posibil ca majoritatea sistemelor să aibă nevoie lunar de un test de penetrare, dar un sistem critic are nevoie de efectuarea săptămânală a unui test de penetrare. Până în prezent, această testare era efectuată exclusiv manual, atât din cauza restricțiilor în ceea ce privește resursele, cât și a costurilor.

Un alt beneficiu cheie este raportarea rapidă, imediat după efectuarea testului. De la rapoarte utilizate ca input pentru linia de raportare ERM, la sarcini detaliate de remediere, prioritare, bazate pe exploatări realizabile, livrate unei echipe operaționale. Faptul că ne putem concentra pe vulnerabilitățile pe care PenTera le exploatează în condiții de siguranță (nu întoarce doar o lungă listă de vulnerabilități statice, cele mai multe dintre acestea neavând exploatări) ne permite să reducem zgomotul și să oferim valori semnificative, permițând vizualizarea imaginii de risc mult mai repede.

În definiția sa cea mai simplă riscul reprezintă un calcul al amenințării, impactului și probabilității (și recunosc că există multe, multe moduri de calcul al riscului, dar îl păstrăm pe cel simplu, pentru scopul acestui articol). Prin efectuarea de teste de penetrare automate, este posibil să influențeze aceste caracteristici, astfel încât:

  • Amenințare – Există amenințarea că o vulnerabilitate va fi exploatată, fie o vulnerabilitate statică precum CVE-2017-0144, fie o vulnerabilitate dinamică, precum configurarea greșită a rețelei sau a sistemului. PenTera identifică și exploatează în siguranță vulnerabilitatea pentru a avansa atacul, activitatea de remediere a monitorizării înlătură vulnerabilitatea iar amenințarea este redusă.

 

  • Impact – Dacă o organizație este supusă unui atac rău intenționat, atunci când PenTera testează folosind aceleași tehnici și aceeași metodologie, eliminarea vulnerabilităților statice și dinamice pe care PenTera le exploatează reduce capacitatea unui atacator rău intenționat să înainteze un atac folosind aceste vulnerabilități și, prin urmare, reduce substanțial impactul.

 

  • Probabilitate – într-o linie similară cu impactul, rulând PenTera, identificarea vulnerabilităților care pot fi exploatate, și eliminarea acestora reduce substanțial (chiar eliminând uneori) probabilitatea ca această vulnerabilitate să fie utilizată pentru a avansa un atac.

 

Automatizând procesul de testare a penetrării, vă puteți valida controalele de securitate, reducând semnificativ riscurile.

Deci, în timp ce tehnologia reprezintă un pas important în evoluția și furnizarea testării de penetrare, valoarea pe care o aduce afacerii prin creșterea eficienței, reducerea costurilor și reducerea riscului este aspectul cu adevărat important. Drept dovadă stă premiul  ”Software-ul anului” care vine să întărească acest lucru.