Отчет о тестировании на проникновение: ИТ-бюджеты должны быть сосредоточены на всем стеке безопасности

Отчет о тестировании на проникновение: ИТ-бюджеты должны быть сосредоточены на всем стеке безопасности

12 марта 2023 г.
Согласно новому отчету, поскольку почти 90% компаний сообщают о кибератаках, бюджеты на ручное тестирование растут, а облачная инфраструктура и услуги являются ключевым направлением деятельности.

Тест на проникновение — это смоделированная атака на безопасность — по сути, это военные игры, которые предприятие проводит против своей собственной системы, чтобы проверить наличие уязвимостей, которые можно использовать. Уделяя особое внимание безопасности брандмауэров веб-приложений, пентесты нацелены на программные интерфейсы приложений, серверы и любую уязвимую точку входа.

Второй ежегодный отчет компании Pentera по безопасности при развертывании ручного тестирования в США и Европе показал, что 92% организаций увеличивают свои общие бюджеты на ИТ-безопасность. Восемьдесят шесть процентов увеличивают свои бюджеты, в частности, на ручное тестирование.

ПОСМОТРЕТЬ: неопубликованная загрузка DLL и CVE-атаки демонстрируют разнообразие угроз (TechRepublic)

Тем не менее, бюджеты на пентестирование и ИТ-безопасность в Европе растут более значительными темпами, чем в США: 42% респондентов в Европе сообщают об увеличении своих бюджетов на пентестинг более чем на 10% по сравнению с 17% респондентов в Европе. США. По некоторым оценкам, рынок ручного тестирования вырастет на 24,3% до 2026 года, в первую очередь за счет основных игроков в этом секторе: IBM, Rapid7, FireEye, Veracode и Broadcom.

Компания Pentera, автоматизирующая проверку безопасности для компаний, опросила 300 руководителей службы безопасности, занимающих должности вице-президентов или руководителей высшего звена. Респонденты были набраны через глобальную исследовательскую группу B2B и приглашены по электронной почте для заполнения опроса, при этом все ответы были собраны в течение декабря 2022 года.

Перейти к:

    Облачные и инфраструктурные сервисы в центре внимания пентеста Большинство директоров по информационной безопасности обмениваются тестами с ИТ-отделом как можно скорее Барьеры и сопротивление атаке белых шляп Тестирование ручек против Red Teaming: сходства и различия? Что будет стимулировать пентестинг в 2023 году?

Облачные и инфраструктурные сервисы в центре внимания пентеста

Исследование Pentera показало, что в среднем компании используют 44 решения для обеспечения безопасности, что указывает на стратегию глубокоэшелонированной защиты, в которой несколько решений безопасности накладываются друг на друга для наилучшей защиты критически важных активов. Несмотря на крупные инвестиции в эти так называемые стратегии «глубокоэшелонированной защиты», 88% опрошенных Pentera организаций пострадали от недавних кибератак.

Опрос предложил разбивку наиболее протестированных слоев инфраструктуры:

    Облачная инфраструктура и сервисы (44%). Внешние активы (41%). Базовая сеть (40%). Приложения (36%). Active Directory и оценка паролей (21%).

Основными мотивами респондентов для проведения пентестинга являются:

    Контроль безопасности и проверка (41%). Оценка потенциального ущерба от атаки (41%). Киберстрахование (36%). Соблюдение нормативных требований (22%).

«Мы пришли к выводу, что директора по информационной безопасности должны уделять больше внимания проверке всего стека безопасности, чтобы гарантировать, что они могут эффективно снизить свою уязвимость», — сказал Авив Коэн, директор по маркетингу Pentera.

Большинство директоров по информационной безопасности обмениваются тестами с ИТ-отделом как можно скорее

По данным Pentera, 47% опрошенных директоров по информационной безопасности заявили, что немедленно делятся результатами со своей командой по ИТ-безопасности. Хотя на первый взгляд это может показаться небольшим числом, учитывая потенциальные последствия для операционной целостности, Чен Тене, вице-президент по работе с клиентами в Pentera, сказал, что это значительное улучшение по сравнению с прошлым годом, когда тестирование методом пера было актом расставления точек соответствия. ”

«Раньше люди получали результаты, основанные на соблюдении нормативных требований, и помещали их в коробку для сертификации», — сказал Тене. «Если вы посмотрите на это сейчас, то увидите, что оно значительно улучшилось — отчасти потому, что все больше людей сосредоточены на киберстраховании, которое они понимают».

По словам Томми Джонсона, инженера по безопасности фирмы, одна из таких компаний, Coalition, занимающаяся кибербезопасностью и страхованием, не требует участия красной команды в андеррайтинге.

«Хотя это может показать, что организация имеет зрелую программу безопасности и думает о безопасности целостно, мы не рассматриваем это как нарушение условий сделки. Для нас это положительный сигнал. Мы поощряем это», — сказал Джонсон.

Другие люди и группы, которым директора по информационной безопасности немедленно доставили результаты пен-тестирования, включали:

    Совет директоров (в первую очередь сюда пошли 43% директоров по информационной безопасности). Коллеги из высшего руководства (38%). Клиенты (30%). Регуляторы (20%). Архивы (9%). Нигде (3%).

Барьеры и сопротивление взлому в белых шляпах

Может ли ручное тестирование нарушить работу? Директора по информационной безопасности беспокоятся об этом. На самом деле, 45% тех, кто уже проводит тестирование на проникновение, будь то ручное или автоматизированное, заявили, что риск для бизнес-приложений или доступности сети не позволяет им увеличить частоту тестов; Такое же мнение высказали 56% респондентов, которые вообще не проводят пентесты. Наличие — или отсутствие — пен-тестеров было второй по значимости причиной отказа от проведения тестов.

Тене признал, что опасения по поводу срыва законны.

«Многие организации страдают от перебоев в работе из-за ручного тестирования», — сказал Тене. «Когда пен-тестер входит в организацию и проводит назойливые тесты, всегда есть возможность, например, создать различные уровни отказа в обслуживании, но когда перед администратором сидит человек, у вас есть погрешность. ».

Тене сказал, что автоматическое тестирование пера, основной бизнес Pentera, предлагает преимущества скорости и эффективности, упрощая поддержание регулярного темпа тестирования для всего, от взлома пароля и бокового перемещения в сети до различных видов эксплуатации и перекрестной эксплуатации.

Он утверждал, что, хотя «когда у вас есть человек, это здорово», наем команд белых хакеров для проверки инфраструктуры на регулярной основе не входит в бюджет многих компаний. В исследовании 33% респондентов в США назвали это причиной того, что они не проводят более частые оценки ручного тестирования.

«Один человек может выполнять два или три действия одновременно, а машина может выполнять 10 или 15 действий в данный момент», — сказал Тене.

Тестирование ручек против Red Teaming: сходства и различия?

По словам Джонсона, может показаться заманчивым совместить ручное тестирование с Red Teaming, но, несмотря на некоторое совпадение, есть и ключевые различия.

«Как правило, тестирование на проникновение проводится для сканирования сетевых активов на наличие технических неправильных конфигураций или уязвимостей и подтверждения их фактической эксплуатацией», — сказал Джонсон. «Красная команда более целенаправленна.

«Обычно в этом участвует команда, которая использует технические и физические недостатки для достижения цели, которая нанесла бы ущерб организации, если бы злоумышленник сделал то же самое».

Пример: руководство может приказать красной команде попытаться проникнуть в центр обработки данных и вставить вредоносный USB-накопитель в определенный сервер компании. Это упражнение может включать в себя социальную инженерию, клонирование значков, техническую эксплуатацию и другие тактики, которые обычно выходят за рамки стандартного пентеста.

ПОСМОТРЕТЬ: Сканирование уязвимостей и тестирование на проникновение: в чем разница? (ТехРеспублика)

«Red teaming и пен-тестирование имеют некоторое сходство, но для меня ключевым отличием является цель: Pen-тест обычно предназначен для перечисления и использования технических слабых мест, тогда как упражнение красной команды использует физические и технические слабости для достижения какой-то заранее определенной цели. Тем не менее, оба предназначены для выявления недостатков безопасности, которые, вероятно, необходимо немедленно исправить.

Что будет стимулировать пентестинг в 2023 году?

В октябре 2022 года Gartner прогнозировала, что расходы на продукты и услуги в области информационной безопасности и управления рисками вырастут на 11,3% и достигнут более 188,3 млрд долларов в этом году.

Pentera сообщила, что 67% директоров по информационной безопасности сообщили о наличии внутренних красных команд, но 96% руководителей служб безопасности сообщили, что к концу 2023 года у них уже будет или они планируют создать внутреннюю красную команду для этой важной задачи.

Тене сказал, что в ближайшем будущем безопасность облачной инфраструктуры значительно улучшится.

«Компании полагаются на облако, но уровни безопасности неизвестны, и лишь немногие специалисты по безопасности знают, как это проверить», — сказал Тене.

Тене также предсказал, что будут продолжаться проблемы, связанные с раскрытием учетных данных на поверхностях угроз, характеризующихся удаленным доступом к рабочей области, будь то через VPN, почтовые ящики, телефоны или домашние сети.

«Это отправная точка почти для каждой атаки», — сказал Тене. «Тем не менее, я думаю, концептуальное понимание безопасности учетных данных станет намного лучше, и будет намного лучше осведомленность о контроле идентификации в повседневных операциях».

Читать далее: Лучшие инструменты тестирования на проникновение: руководство покупателя (TechRepublic)


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE