Има ли пробив в киберзащитата?

Във времена на все по-дигитализирани бизнес процеси понятието „осъзната некомпетентност“ излиза извън пределите на психологията и мениджмънта. Нуждата да са наясно с всички възможни пролуки, през които може да бъде застрашена киберсигурността на една компания драстично повишава мотивацията на мениджърите да предприемат спешни действия.

Стимулът варира според компанията, но в общия случай става дума за многоцифрена стойност - според проучванията при киберинцидент „на карта“ са заложени около 30% от годишните приходи на една компания. Т.е. това е средната цена, която бизнесите се налага да платят, за да възстановят данните и да премахнат злонамерения софтуер, който е проникнал в системите им в резултат на Ransomware атака.

Мотивите на бизнеса

Според данни на Евростат от 2022 г. в повече от едно на всеки пет предприятия в ЕС (22%) е имало инциденти с киберсигурността, водещи до последствия като недостъпност на услуги, унищожаване или повреда на данни или разкриване на поверителна информация.

Основните опасения за сигурността в една организация идват от риска да станат жертва на фишинг (80%), рансъмуер (68%) и грешки в конфигурации (57%). Това са трите водещи причини специалистите по киберсигурност да използват тестове за проникване, за да защитят чувствителните данни, мрежи и потребители. На челните места според 75% от тях са необходимостта от съответствие с регулаторни изисквания и измерването на нивото на сигурност. На трето място, посочено от 57%, е желанието да управляват уязвимостите в тяхната инфраструктура.

Затова не е изненада, че според проучване на Световния икономически форум от 2022 г. 59% от компаниите в глобален мащаб биха се затруднили да отговорят на кибератака поради недостиг на компетенции, умения и опит в сферата на киберсигурността. Независимо дали вече полагат усилия да обезопасят вътрешната и външна IT инфраструктура и данните на бизнеса си, логична стъпка е да изпробват нивото на киберсигурност и устойчивост чрез контролирани тестове за пробив.

Етичното хакерство отвътре

Препоръките на киберспециалистите са за 360-градусов подход за защита на инфраструктурата, мрежата и данните на организациите. За да са сигурни, че са „покрили“ всички потенциални пролуки, е важно IT екипите на организациите да се възползват от високоспециализирани услуги като Penetration testing, каквато А1 предлага на корпоративните клиенти. Това осигурява на организациите възможност уязвимостите в IT системите, приложенията и инфраструктурата да бъдат открити навреме от етични хакери, преди да са станали жертва на злонамерени кибернападатели.

При Penetration testing сертифицирани професионалисти изпълняват със знанието и съгласието на организацията клиент оторизирана кибератака към определени системи. Така се постига прозрачност в случай на съществуващи уязвимости в сигурността. Откритите „слабости“ в защитата се категоризират по групи с приоритет според степента на критичност. Мениджърите и IT експертите на корпоративните клиенти получават информация за пътя, по който етичните хакери са достигнали до съответната уязвимост, както и оценка какви биха били щетите при реална хакерска атака. Докладът, който специалистите от А1 предоставят, съдържа подробна информация и препоръки как да бъдат отстранени установените дефекти.

Към услугата Penetration testing интерес проявяват компании от различни индустрии и мащаб, казва Димитър Павлов, мениджърът на екип „Киберсигурност“ в А1.

Според изискванията и сложността на системите на всяка компания киберспециалистите препоръчват кои от включените в услугата А1 Penetration Testing пакети да бъдат използвани за провеждане на контролиран тест за пробив. Симулацията на кибератака се насочва към посочените като ключови системи, приложения и данни на организацията клиент.

Услугата включва няколко етапа – „Разузнаване“, „Сканиране на системата“, „Придобиване на достъп“, „Поддържане на достъпа до системата“, „Прикриване на следите“ и „Изготвяне на доклад“.

Сертифицирани киберексперти

Оглавяваният от Димитър Павлов екип „Киберсигурност“ в А1, който прави контролираните тестове за пробив, вече наброява 7 високоспециализирани киберексперти. Те са сертифицирани по ключовите стандарти на етичното хакерство като Certified Ethical Hacker (CEH), Practical Network Pentester (PNPT), Offensive Security Certified Professional (OSCP) и Offsec Web Expert (OSWE). Експертите предоставят на клиентите синтезирана информация за необходимите мерки за предотвратяване на кибернападения срещу инфраструктурата, системите и данните на бизнеса им.

Атакувай, за да предпазиш

За да повишат нивото на сигурност и да предотвратят бъдещи атаки, бизнес организациите все по-често предприемат контролирани пробиви на сигурността. Целта е да се справят с осъзнатата некомпетентност доколко сигурна е киберзащитата на инфраструктурата, мрежите и данните на бизнеса им.

Професионалното изпълнение от сертифицирани специалисти на А1, което корпоративните клиенти, използващи A1 Penetration Testing услугата получават, им помага да измерят степента на корпоративната уязвимост, компетенциите и надеждността на служителите в организацията. Симулираните кибератаки повишават възможностите на IT екипите на организациите да устояват на реални нападения срещу сигурността.

Източник: А1

Най-подходящата комбинация PenTest

Бизнес организациите и представителите на публичния сектор имат възможност да изберат периода на провеждане и най-подходящата комбинация от пакети, която отговаря на нуждите им. Продължителността варира от 5 дни до 2 седмици според броя и сложността на системите на организацията. Клиентите могат да изберат един или комбинация от няколко различни пакета PenTest: External, Internal, Mobile, Phishing и Red Teaming. Всеки от тях симулира атака към различни типове системи в организацията. Според Димитър Павлов най-често клиентите избират комбинация от няколко от предлаганите пакети Penetration Testing според специфичните потребности на бизнеса си.

PenTest External

При използване на PenTest External пакета киберекспертите използват методите на етично хакване „отвън“ на достъпна от интернет инфраструктура на компанията клиент. Проверяват за „пробойни“ в сървъри за електронна поща, защитни стени и уеб приложения. Целта на външния пентест е да се намерят начини за компрометиране на достъпните (външни) системи и услуги на бизнеса, както и да се получи достъп до чувствителна информация. По този начин се откриват и различните методи, които атакуващият може да използва, за да атакува потребители на организацията. При този пакет външното тестване за проникване се провежда без предварителен достъп до системите или мрежите на клиента.

PenTest Mobile

Тестването за проникване разкрива уязвимости в киберсигурността и на самите мобилни приложения, което е включено в пакета PenTest Mobile. Включва оценка на безопасността и сигурността на приложенията за iOS и Android. Както за разработчиците, така и за потребителите на мобилни приложения е важно да съществуват подходящи нива на сигурност. При тези тестове често се прави и т.нар. source code анализ, тоест анализ и оценка на самия код, с който е написано приложението за уязвимости от киберзаплахи.

PenTest Internal

Вътрешното тестване за проникване, включено в пакета PenTest Internal, провежда изпитания, като приема, че нападателят вече има опорна точка на компрометирана машина или е физически в сградата. Това се прави чрез използване на уязвимости и намиране на пътя на атаката, който потенциална вътрешна заплаха може да използва, за да получи достъп до чувствителни данни. Тестовете проверяват за наличие на уязвимости в тези системи на клиента и ако открият, ги експлоатират, за да проверят дали могат да проникнат в мрежата на организацията и до какви данни могат да стигнат. Препоръките на киберекспертите са организациите да тестват вътрешната си мрежа поне толкова често, колкото тестват външната.

PenTest Phishing

PenTest Phishing е оторизиран процес, който се извършва с цел идентифициране на уязвимостите в сигурността от гледна точка на служителите в организацията. Процесът е известен като симулирана фишинг атака. Представлява имейл измама, предназначена да открадне ценна информация от жертвите. Например номера на банкови сметки или пренасочване на плащания към банкови сметки, които са различни от обичайните за дадения контрагент, което може да доведе до източване на големи суми от компаниите. При този вид тестване кампанията включва всички или определена група от служители в организацията, за да се разбере техния отговор на типичните фишинг имейли.

Red Teaming

Петият от предлаганите пакети, Red Teaming, предоставя цялостна, многослойна симулация на атака и анализ, предназначени да измерят колко добре една компания може да устои на атака от реален противник. Това включва служители и мрежи, приложения и контрол за физическата сигурност.