Всяка организация, която обработва чувствителни данни, трябва да полага усърдни усилия в областта на сигурността, които включват редовни пенетрейшън тестове. Дори малък пробив в данните може да доведе до значителни щети за репутацията и резултатите на организацията.
Има две основни причини, поради които редовното провеждане на pen testing е необходимо за сигурното разработване на уеб приложения:
Много организации, големи и малки, провеждат веднъж годишно тестове за проверка на сигурността. Но коя е най-добрата честота за провеждане на pen testing? Достатъчно ли е веднъж годишно, или трябва да се прави по-често?
Отговорът зависи от няколко фактора, включително вида на цикъла на разработка, критичността на вашите уеб приложения и индустрията, в която работите.
Имате гъвкав или непрекъснат цикъл на реализация
Циклите на гъвкава разработка се характеризират с кратки цикли на издаване и бързи итерации. Това може да затрудни проследяването на промените в базата данни и увеличава вероятността от поява на уязвимости в сигурността.
Ако тествате само веднъж годишно, има голяма вероятност уязвимостите да останат неоткрити за дълъг период от време. Това може да остави организацията ви отворена за атаки.
За да се намали този риск, циклите на pen testing трябва да се съгласуват с цикъла на разработка на организацията. За статични уеб приложения тестването на всеки 4-6 месеца би трябвало да е достатъчно. Но за уеб приложения, които се актуализират често, може да се наложи да тествате по-често, например ежемесечно или дори ежеседмично.
Уеб приложенията ви са критични за бизнеса
На всяка система, която е от съществено значение за дейността на вашата организация, трябва да се обърне специално внимание, когато става въпрос за сигурност. Това е така, защото пробив в тези системи може да има опустошително въздействие върху бизнеса ви. Ако вашата организация разчита в голяма степен на уеб приложенията си за осъществяване на дейността си, всеки престой може да доведе до значителни финансови загуби.
Представете си например, че сайтът за електронна търговия на вашата организация е прекъснат за един час поради DDoS атака. Не само ще загубите потенциални продажби, но и ще трябва да се справите с разходите за атаката и негативната публичност.
За да избегнете този сценарий, е важно да гарантирате, че вашите уеб приложения са винаги достъпни и сигурни.
Уеб приложенията, които не са от критично значение, обикновено могат да бъдат тествани веднъж годишно, но тези, които са от критично значение за бизнеса, трябва да бъдат тествани по-често, за да се гарантира, че не са изложени на риск от сериозен срив или загуба на данни.
Вашите уеб приложения са насочени към клиентите
Ако всички ваши уеб приложения са вътрешни, може да ви се наложи да извършвате тестове по-рядко. Ако обаче уеб приложенията ви са достъпни за обществеността, трябва да сте особено старателни в усилията си за сигурност.
Уеб приложенията, които са достъпни за външен трафик, е по-вероятно да бъдат обект на атаки от страна на нападателите. Това е така, защото има по-голям набор от вектори на атака и повече потенциални точки за влизане, които нападателят може да използва.
Уеб приложенията, насочени към клиенти, обикновено имат и повече потребители, което означава, че всички уязвимости в сигурността ще бъдат използвани по-бързо. Например, уязвимост в XSS (cross-site scripting) във външно уеб приложение с милиони потребители може да бъде използвана в рамките на часове след откриването ѝ.
За да се предпазите от тези заплахи, е важно да тествате уеб приложенията, насочени към клиенти, по-често, отколкото вътрешните. В зависимост от размера и сложността на приложението може да се наложи да правите pen test всеки месец или дори всяка седмица.
Работите в отрасъл с висок риск
Някои индустрии са по-склонни да бъдат обект на хакери поради чувствителния характер на техните данни. Например организациите в сферата на здравеопазването често са обект на хакерски атаки поради съхраняваната от тях защитена здравна информация (ЗЗИ).
Ако организацията ви е във високорисков отрасъл, трябва да обмислите по-често провеждане на тестове , за да сте сигурни, че системите ви са защитени и отговарят на нормативните изисквания. Това ще ви помогне да защитите данните си и да намалите вероятността от скъпоструващ инцидент със сигурността.
Не разполагате с вътрешни операции по сигурността или екип за Pen testing
Това може да звучи нелогично, но ако нямате вътрешен екип по сигурността, може да се наложи да провеждате по-често тестове.
Организациите, които нямат специализиран персонал по сигурността, е по-вероятно да са уязвими на атаки.
Без вътрешен екип по сигурността ще трябва да разчитате на външни пен тестери за оценка на състоянието на сигурността на вашата организация.
В зависимост от размера и сложността на организацията ви може да се наложи да провеждате pen тестове всеки месец или дори всяка седмица.
Фокусирани сте върху сливания или придобивания
По време на сливане или придобиване често настъпва голямо объркване и хаос. Това може да затрудни следенето на всички системи и данни, които трябва да бъдат защитени. В резултат на това е важно да провеждате по-често pen testing през тези периоди, за да сте сигурни, че всички системи са защитени.
Сливанията и поглъщанията също така означават, че добавяте нови уеб приложения към инфраструктурата на вашата организация. Тези нови приложения може да имат неизвестни уязвимости в сигурността, които могат да изложат на риск цялата ви организация.
През 2016 г. Marriott придоби Starwood, без да е наясно, че две години по-рано хакери са използвали недостатък в резервационната система на Starwood. Компрометирани бяха над 500 милиона записи на клиенти. Това постави Marriott в гореща ситуация с британския контролен орган ICO, в резултат на което в Обединеното кралство бяха наложени глоби в размер на 18,4 млн. паунда. Според Блумбърг предстоят още неприятности, тъй като хотелският гигант може да „бъде изправен пред глоби от регулаторни органи и съдебни разходи в размер на до 1 млрд. долара“.
За да се предпазите от тези заплахи, е важно да провеждате pen тестове преди и след придобиването. Това ще ви помогне да идентифицирате потенциални проблеми със сигурността, така че те да могат да бъдат отстранени, преди преходът да е приключил.
Макар че периодичното тестване е важно, в днешния свят то вече не е достатъчно. Тъй като предприятията разчитат все повече на своите уеб приложения, непрекъснатото тестване става все по-важно.
Съществуват два основни вида тестване: периодично и непрекъснато.
Традиционният pen testing се извършва по определен график, например веднъж годишно. Този тип тестване вече не е достатъчен в днешния свят, тъй като предприятията разчитат все повече на своите уеб приложения.
Непрекъснатият pen testing е процес на непрекъснато сканиране на системите ви за уязвимости. Това ви позволява да идентифицирате и отстранявате уязвимостите, преди те да бъдат използвани от нападателите. Непрекъснатото тестване ви позволява да откривате и отстранявате проблеми със сигурността в момента на възникването им, вместо да чакате периодична оценка.
Непрекъснатото тестване е особено важно за организации, които имат гъвкав цикъл на работа. Тъй като нов код се внедрява често, има по-голяма вероятност да бъдат въведени уязвимости в сигурността.
Моделите на Pen testing като услуга са мястото, където непрекъснатото тестване е на висота. Платформите PTaaS (Penetration-Testing-as-a-Service) дават възможност на бизнеса да провежда непрекъснато pen testing с лекота. Платформата е винаги в крак с най-новите заплахи и уязвимости за сигурността на организацията, така че можете да сте сигурни, че вашите уеб приложения са защитени.
Редовното провеждане на pen testing е от съществено значение за сигурната разработка на уеб приложения. В зависимост от размера на вашата организация, индустрията и цикъла на разработване може да се наложи да преразгледате графика си за провеждане на pen testing.
Цикълът на pen testing веднъж годишно може да е достатъчен за някои организации, но за повечето не е. За критични за бизнеса, насочени към клиенти или уеб приложения с голям трафик трябва да обмислите непрекъснато тестване.
Платформите PTaaS правят лесно и рентабилно провеждането на непрекъснато тестване.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.