• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Блог

    Анализ уязвимостей против тестирования на проникновение

    В настоящее время существует некоторая неопределенность в использовании понятий « тестирование на проникновение» и «анализ уязвимостей». В данной статье мы постараемся убрать эту неопределенность и показать, где эти два вида аудита безопасности информации пересекаются, а где бесконечно далеки друг от друга.

    Вопрос о проведении аудита безопасности информационных систем возникает обычно в компании перед разработкой комплексной системы безопасности информации или просто когда собственник задумывается о защите своих информационных ресурсов. Модель рисков и угроз дает нам понять от чего мы будем защищаться и возможные ущерб от реализации конкретной угрозы. А вот потом следует выбор способа и конкретного вида аудита.

    Анализ уязвимостей против тестирования на проникновение

    Тестирование на проникновение (пентест) – имитация действий злоумышленника по проникновению к самым ценным информационным ресурсам клиента.

    Основные особенности пентеста, как вида аудита информационной безопасности:

    • Сложность организационного процесса и подготовительного этапа;
    • Высокая стоимость, так как требует исключительных знаний и навыков, а также дорогих программных средств;
    • Демонстрируется пример получения несанкционированного доступа к ключевым ресурсам компании;
    • Эффективное обнаружение организационных и архитектурных уязвимостей, устранение которых дело сложное и затратное.

    Анализ уязвимостей – обнаружение и анализ технологических и эксплуатационных уязвимостей в системах клиента в ручном режиме и с помощью автоматизированных программных средств. Также при анализе уязвимостей проводится ранжирование обнаруженных уязвимостей по уровню критичности относительно одной из общепринятых шкал, например, CVSSv2.

    Основные особенности анализа уязвимостей, как вида аудита информационной безопасности:

    • Относительная легкая организация аудита;
    • Более низкая стоимость по сравнению с пентестом;
    • Эффективное обнаружение большинства (98%) технологических и эксплуатационных уязвимостей, некорректных конфигураций;
    • Отчет по проведенному анализу уязвимостей содержит четкие рекомендации по устранению обнаруженных уязвимостей.

    Необходимо отметить, что анализ уязвимостей сокращает действующую матрицу рисков и угроз, а тест на проникновение ее, наоборот, увеличивает. Дело в том, что после анализа уязвимостей большинство существующих рисков и угроз из матрицы убирают, в то время как после теста на проникновение к матрице добавляется риски т.н. «квалифицированного и мотивированного взломщика». Из этого можно сделать следующие выводы относительно рассматриваемых видов аудита:

    1. Тестирование на проникновение – это «шоу» для руководителей фирм, в результате которого появляется мотивация на развитие информационной безопасности на предприятии.
    2. Анализ уязвимостей – рутинная работа, основной целью которой является обнаружение уязвимостей и их устранение.

    Обычно анализ уязвимостей проводиться после внедрения или изменения политик безопасности, регламентов, закупки, установки или обновления ПО для того, чтобы устранить большинство возникших технологических или эксплуатационных уязвимостей, некорректных конфигураций. А потом проводится тестирование на проникновение с тем, чтобы показать, что система безопасности компании все еще уязвима, и чтобы мотивировать на дальнейшее ее совершенствование.

    Большинству сайтов в Интернете вполне подойдет анализ уязвимостей, ведь это недорого, эффективно и при регулярном проведении обеспечивает высокий уровень безопасности сайта.

    NB! Если Вам необходимо защитить сайт, то самое время обратиться к нам за проведением анализа уязвимостей.