Сканирование уязвимостей, тестирование на проникновение и редтиминг — это три термина, которые имеют какое-то отношение к техническому аудиту безопасности, но имеют явные различия для компаний-заказчиков и тестировщиков. Самое позднее при размещении заказа вы должны знать, когда и какую процедуру следует использовать.
Сканирование уязвимостей
Сканирование уязвимостей в основном использует автоматизированные процедуры и общие сканеры для обнаружения брешей в безопасности в системах. Это могут быть, например, слабые пароли или неправильная конфигурация. Эти сканирования следует проводить через регулярные промежутки времени, так как результат однократного сканирования может оказаться неактуальным после следующего дня обновления. В конце концов, меры безопасности на этом этапе должны включать в себя управление уязвимостями, которое соответствующим образом расставляет приоритеты и документирует обнаруженные проблемы.
Тест на проникновение
В отличие от сканирования уязвимостей, помимо автоматизированных процедур, ручные методы в основном используются для обнаружения более сложных уязвимостей, которые не могут быть обнаружены сканерами. Это могут быть как логические ошибки при внедрении программного обеспечения, так и проблемы в организационных регламентах компании. Кроме того, во время теста на проникновение уязвимости проверяются и используются для достижения заранее определенной цели. Этой целью может быть получение прав администратора домена или доступ к электронной почте конкретного пользователя компании.
Цель: осуществляется поиск более сложных уязвимостей, которые не могут быть обнаружены автоматическими сканерами, и проверка эффективности мер безопасности, принимаемых на техническом, организационном и кадровом уровне.
Редтиминг
В этом типе оценки используются самые современные методы атаки и запутывания информации для проникновения в компанию и достижения конкретной цели. В то же время «группа защиты», так называемая BlueTeam, должна обнаружить вторжение и отреагировать соответствующим образом.
Какая процедура правильная?
На вопрос о том, какой процесс подходит вашей компании, нельзя ответить в общих чертах. Выбор между сканированием уязвимостей, тестированием на проникновение и Red teaming зависит от уровня безопасности компании или тестируемой цели.
Уровень безопасности: от низкого до среднего.
Если оценки безопасности еще не проводились, первоначально следует использовать только сканирование уязвимостей, чтобы определить, как в основном выглядит уровень безопасности, и поднять его до удовлетворительного уровня.
Уровень безопасности: Высокий
После того как компания проведет сканирование уязвимостей и закроет выявленные бреши, тестирование на проникновение можно использовать для выявления более сложных брешей.
Уровень безопасности: от высокого до очень высокого.
Если в компании уже используются такие аспекты, как SOC, SIEM и Blue team, эти элементы следует обучить и оптимизировать посредством оценок Red teaming.