Опасности тестов безопасности / Новости / Официальный представитель «КонсультантПлюс» в Санкт-Петербурге

Новости

Опасности тестов безопасности

Виталий ИсаковЭксперт по безопасности бизнеса и оптимизации бизнес процессов
Много статей написано о том, зачем нужно проводить пентесты (тесты на проникновение в информационную инфраструктуру компании), проверку охраны компании, различные иные учения (проверки, тесты) уровня защищенности организации. Я двумя руками «ЗА»! Бонусов по итогам таких тестов можно получить много...

Какие бонусы Вы получите по итогам тестов?

НО! Очень часто бизнес не совсем корректно трактует результаты таких тестов. Подобные проверки дают своего рода «срез» на текущий момент при данных условиях, но отнюдь не являются полным отражением степени эффективности системы безопасности.Если компания успешно прошла (или успешно провалила) проверку защищенности (читайте «учебные злоумышленники не смогли достигнуть своей цели (или успешно достигли ее, нанеся вред фирме)», то данный вывод означает лишь что:

ЗАЩИТНИКИ

  1. обладая данным уровнем компетенций (знаний, навыков в профильном сегменте безопасности; понимания угроз безопасности и умений им противодействовать; опыта работы; уровня знаний инфраструктуры компании и ее слабостей),
  2. используя имеющиеся программно-аппаратные комплексы (любые системы, применяемые в целях обеспечения безопасности компании: антивирусы, фаерволы, системы DPI, для IT-безопасности; СКУДы, видеонаблюдение, как скрытое, так и открытое, для охраны; полиграф, средства контроля работы сотрудников за компьютерами, для контроля за сотрудниками; и многое другое),
  3. замотивированные на защиту компании (небходимо наличие конкретных обязанностей у сотрудников по обеспечению безопасности; вовлеченность сотрудников в деятельность компании – то, насколько они ассоциируют себя с фирмой, насколько она им дорога, что является очень мощным мотивирующим фактором, но, к сожалению, редко используемым; получающие финансовое или иное материальное/нематериальное вознаграждение за успешное выполнение работы по защите бизнеса),
  4. смогли (или не смогли) своевременно выявить, отразить или минимизировать последствия атаки,

ЗЛОУМЫШЛЕННИКИ

  1. также обладающие определенным уровнем компетенций (аналогично защитникам, только все их знания, умения и навыки направлены на преодоление системы безопасности компании),
  2. используя известные им в данный момент времени уязвимости (отражает то, насколько хорошо атакующие изучили компанию, ее инфраструктуру, в том числе и информационную, какие уязвимости смогли выявить и как спланировали их использовать),
  3. ставящие перед собой определенные цели (украсть денежные средства со счетов компании, критически важную информацию, парализовать работу фирмы),
  4. смогли (или не смогли) преодолеть защиту компании и нанести ей ущерб. 
И на все это накладывается «положение звезд на небе» (банальная удача и везение для обеих сторон). Для защитников – наличие полного состава на рабочем месте (или кто-то «удачно» ушел в отпуск, уволился или заболел); завал на работе в данный момент времени; наличие личных проблем, которые сильно отвлекают от работы, плохое самочувствие или наоборот – яркое желание проявить себя сейчас; предчувствие беды; вовремя полученная информация о готовящейся атаке. Для атакующих внешние факторы менее характерны, так как они заранее просчитывают риски и любые возможности.

Изменение любого из вышеперечисленных факторов может изменить и весь результат проверки.

Таким образом, любая проверка показывает положение дел на данный момент времени при данных условиях. Грубо говоря, такая же проверка, проведенная завтра, может иметь противоположный эффект.Такие тесты должны занимать одно из первых мест в концепции обеспечения безопасности компании, но все же, они не отражают действительное положение дел в сегменте безопасности фирмы, а дают срез, результаты которого необходимо учитывать для корректировки системы защиты организации от внутренних и внешних угроз.Даже если компания успешно смогла пройти самую серьезную проверку собственной защищенности, это не означает, что завтра не придет «злой гений», или банальный середнячок, использующий новь открывшуюся брешь в защите (например, завтра появится новая уязвимость, способная скомпрометировать фаервол, используемый компанией), который сможет найти такой способ нанести фирме ущерб, до которого никто ранее не додумался. Это не призыв к паранойе, а всего лишь призыв к адекватной оценке результатов тестов защиты компании.  

Вернуться к новостям