Търсене
Close this search box.

Достатъчен ли е един pen test годишно?

Всяка организация, която обработва чувствителни данни, трябва да полага усърдни усилия в областта на сигурността, които включват редовни пенетрейшън тестове. Дори малък пробив в данните може да доведе до значителни щети за репутацията и резултатите на организацията.

Има две основни причини, поради които редовното провеждане на pen testing е необходимо за сигурното разработване на уеб приложения:

  • Сигурност: Уеб приложенията непрекъснато се развиват и постоянно се откриват нови уязвимости. Тестването с  помага да се идентифицират уязвимостите, които могат да бъдат използвани от хакери, и ви позволява да ги отстраните, преди да могат да ви нанесат щети.
  • Съответствие: В зависимост от вашата индустрия и вида на данните, с които боравите, може да се наложи да спазвате определени стандарти за сигурност (например PCI DSS, NIST, HIPAA). Редовното провеждане на pen testing може да ви помогне да проверите дали вашите уеб приложения отговарят на тези стандарти и да избегнете санкции за неспазване.

 

Колко често трябва да провеждате тестове?

Много организации, големи и малки, провеждат веднъж годишно тестове за проверка на сигурността. Но коя е най-добрата честота за провеждане на pen testing? Достатъчно ли е веднъж годишно, или трябва да се прави по-често?

Отговорът зависи от няколко фактора, включително вида на цикъла на разработка, критичността на вашите уеб приложения и индустрията, в която работите.

Възможно е да се нуждаете от по-често провеждане на pen testing, ако:

Имате гъвкав или непрекъснат цикъл на реализация

Циклите на гъвкава разработка се характеризират с кратки цикли на издаване и бързи итерации. Това може да затрудни проследяването на промените в базата данни и увеличава вероятността от поява на уязвимости в сигурността.

Ако тествате само веднъж годишно, има голяма вероятност уязвимостите да останат неоткрити за дълъг период от време. Това може да остави организацията ви отворена за атаки.

За да се намали този риск, циклите на pen testing трябва да се съгласуват с цикъла на разработка на организацията. За статични уеб приложения тестването на всеки 4-6 месеца би трябвало да е достатъчно. Но за уеб приложения, които се актуализират често, може да се наложи да тествате по-често, например ежемесечно или дори ежеседмично.

Уеб приложенията ви са критични за бизнеса

На всяка система, която е от съществено значение за дейността на вашата организация, трябва да се обърне специално внимание, когато става въпрос за сигурност. Това е така, защото пробив в тези системи може да има опустошително въздействие върху бизнеса ви. Ако вашата организация разчита в голяма степен на уеб приложенията си за осъществяване на дейността си, всеки престой може да доведе до значителни финансови загуби.

Представете си например, че сайтът за електронна търговия на вашата организация е прекъснат за един час поради DDoS атака. Не само ще загубите потенциални продажби, но и ще трябва да се справите с разходите за атаката и негативната публичност.

За да избегнете този сценарий, е важно да гарантирате, че вашите уеб приложения са винаги достъпни и сигурни.

Уеб приложенията, които не са от критично значение, обикновено могат да бъдат тествани веднъж годишно, но тези, които са от критично значение за бизнеса, трябва да бъдат тествани по-често, за да се гарантира, че не са изложени на риск от сериозен срив или загуба на данни.

Вашите уеб приложения са насочени към клиентите

Ако всички ваши уеб приложения са вътрешни, може да ви се наложи да извършвате тестове  по-рядко. Ако обаче уеб приложенията ви са достъпни за обществеността, трябва да сте особено старателни в усилията си за сигурност.

Уеб приложенията, които са достъпни за външен трафик, е по-вероятно да бъдат обект на атаки от страна на нападателите. Това е така, защото има по-голям набор от вектори на атака и повече потенциални точки за влизане, които нападателят може да използва.

Уеб приложенията, насочени към клиенти, обикновено имат и повече потребители, което означава, че всички уязвимости в сигурността ще бъдат използвани по-бързо. Например, уязвимост в XSS (cross-site scripting) във външно уеб приложение с милиони потребители може да бъде използвана в рамките на часове след откриването ѝ.

За да се предпазите от тези заплахи, е важно да тествате уеб приложенията, насочени към клиенти, по-често, отколкото вътрешните. В зависимост от размера и сложността на приложението може да се наложи да правите pen test всеки месец или дори всяка седмица.

Работите в отрасъл с висок риск

Някои индустрии са по-склонни да бъдат обект на хакери поради чувствителния характер на техните данни. Например организациите в сферата на здравеопазването често са обект на хакерски атаки поради съхраняваната от тях защитена здравна информация (ЗЗИ).

Ако организацията ви е във високорисков отрасъл, трябва да обмислите по-често провеждане на тестове , за да сте сигурни, че системите ви са защитени и отговарят на нормативните изисквания. Това ще ви помогне да защитите данните си и да намалите вероятността от скъпоструващ инцидент със сигурността.

Не разполагате с вътрешни операции по сигурността или екип за Pen testing

Това може да звучи нелогично, но ако нямате вътрешен екип по сигурността, може да се наложи да провеждате по-често тестове.

Организациите, които нямат специализиран персонал по сигурността, е по-вероятно да са уязвими на атаки.

Без вътрешен екип по сигурността ще трябва да разчитате на външни пен тестери за оценка на състоянието на сигурността на вашата организация.

В зависимост от размера и сложността на организацията ви може да се наложи да провеждате pen тестове всеки месец или дори всяка седмица.

Фокусирани сте върху сливания или придобивания

По време на сливане или придобиване често настъпва голямо объркване и хаос. Това може да затрудни следенето на всички системи и данни, които трябва да бъдат защитени. В резултат на това е важно да провеждате по-често pen testing през тези периоди, за да сте сигурни, че всички системи са защитени.

Сливанията и поглъщанията също така означават, че добавяте нови уеб приложения към инфраструктурата на вашата организация. Тези нови приложения може да имат неизвестни уязвимости в сигурността, които могат да изложат на риск цялата ви организация.

През 2016 г. Marriott придоби Starwood, без да е наясно, че две години по-рано хакери са използвали недостатък в резервационната система на Starwood. Компрометирани бяха над 500 милиона записи на клиенти. Това постави Marriott в гореща ситуация с британския контролен орган ICO, в резултат на което в Обединеното кралство бяха наложени глоби в размер на 18,4 млн. паунда. Според Блумбърг предстоят още неприятности, тъй като хотелският гигант може да „бъде изправен пред глоби от регулаторни органи и съдебни разходи в размер на до 1 млрд. долара“.

За да се предпазите от тези заплахи, е важно да провеждате pen тестове преди и след придобиването. Това ще ви помогне да идентифицирате потенциални проблеми със сигурността, така че те да могат да бъдат отстранени, преди преходът да е приключил.

Важността на непрекъснатото тестване

Макар че периодичното тестване  е важно, в днешния свят то вече не е достатъчно. Тъй като предприятията разчитат все повече на своите уеб приложения, непрекъснатото тестване  става все по-важно.

Съществуват два основни вида тестване: периодично и непрекъснато.

Традиционният pen testing се извършва по определен график, например веднъж годишно. Този тип тестване вече не е достатъчен в днешния свят, тъй като предприятията разчитат все повече на своите уеб приложения.

Непрекъснатият pen testing е процес на непрекъснато сканиране на системите ви за уязвимости. Това ви позволява да идентифицирате и отстранявате уязвимостите, преди те да бъдат използвани от нападателите. Непрекъснатото тестване ви позволява да откривате и отстранявате проблеми със сигурността в момента на възникването им, вместо да чакате периодична оценка.

Непрекъснатото тестване е особено важно за организации, които имат гъвкав цикъл на работа. Тъй като нов код се внедрява често, има по-голяма вероятност да бъдат въведени уязвимости в сигурността.

Моделите на Pen testing като услуга са мястото, където непрекъснатото тестване е на висота. Платформите PTaaS (Penetration-Testing-as-a-Service)  дават възможност на бизнеса да провежда непрекъснато pen testing с лекота. Платформата  е винаги в крак с най-новите заплахи и уязвимости за сигурността на организацията, така че можете да сте сигурни, че вашите уеб приложения са защитени.

  • Ръчно и автоматизирано тестване :  PTaaS  съчетава ръчно и автоматизирано тестване , за да ви даде най-доброто от двата подхода. Това означава, че можете да откривате и отстранявате уязвимости по-бързо, като същевременно получавате предимствата на експертния анализ.
  • Осигурява цялостно покритие: PTaaS  покрива всички уязвимости от Топ 10 на OWASP и дори повече. Това означава, че можете да сте сигурни, че вашите уеб приложения са защитени срещу най-новите заплахи.
  • Е икономически ефективна: С PTaaS  плащате само за услугите, от които се нуждаете. Това прави по-достъпно провеждането на непрекъснато тестване, дори за малки фирми.

Вместо заключение 

Редовното провеждане на pen testing е от съществено значение за сигурната разработка на уеб приложения. В зависимост от размера на вашата организация, индустрията и цикъла на разработване може да се наложи да преразгледате графика си за провеждане на pen testing.

Цикълът на pen testing веднъж годишно може да е достатъчен за някои организации, но за повечето не е. За критични за бизнеса, насочени към клиенти или уеб приложения с голям трафик трябва да обмислите непрекъснато тестване.

Платформите PTaaS  правят лесно и рентабилно провеждането на непрекъснато тестване.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
22/07/2024

CISA публикува наръчник за ...

Агенцията за киберсигурност и инфраструктурна сигурност...
15/07/2024

Банките в Сингапур ще према...

Паричният орган на Сингапур (MAS) обяви...
01/07/2024

Juniper пуска извънциклична...

Juniper Networks пусна извънредна актуализация за...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!