Търсене
Close this search box.

Всяка организация, която обработва чувствителни данни, трябва да полага усърдни усилия в областта на сигурността, които включват редовни пенетрейшън тестове. Дори малък пробив в данните може да доведе до значителни щети за репутацията и резултатите на организацията.

Има две основни причини, поради които редовното провеждане на pen testing е необходимо за сигурното разработване на уеб приложения:

  • Сигурност: Уеб приложенията непрекъснато се развиват и постоянно се откриват нови уязвимости. Тестването с  помага да се идентифицират уязвимостите, които могат да бъдат използвани от хакери, и ви позволява да ги отстраните, преди да могат да ви нанесат щети.
  • Съответствие: В зависимост от вашата индустрия и вида на данните, с които боравите, може да се наложи да спазвате определени стандарти за сигурност (например PCI DSS, NIST, HIPAA). Редовното провеждане на pen testing може да ви помогне да проверите дали вашите уеб приложения отговарят на тези стандарти и да избегнете санкции за неспазване.

 

Колко често трябва да провеждате тестове?

Много организации, големи и малки, провеждат веднъж годишно тестове за проверка на сигурността. Но коя е най-добрата честота за провеждане на pen testing? Достатъчно ли е веднъж годишно, или трябва да се прави по-често?

Отговорът зависи от няколко фактора, включително вида на цикъла на разработка, критичността на вашите уеб приложения и индустрията, в която работите.

Възможно е да се нуждаете от по-често провеждане на pen testing, ако:

Имате гъвкав или непрекъснат цикъл на реализация

Циклите на гъвкава разработка се характеризират с кратки цикли на издаване и бързи итерации. Това може да затрудни проследяването на промените в базата данни и увеличава вероятността от поява на уязвимости в сигурността.

Ако тествате само веднъж годишно, има голяма вероятност уязвимостите да останат неоткрити за дълъг период от време. Това може да остави организацията ви отворена за атаки.

За да се намали този риск, циклите на pen testing трябва да се съгласуват с цикъла на разработка на организацията. За статични уеб приложения тестването на всеки 4-6 месеца би трябвало да е достатъчно. Но за уеб приложения, които се актуализират често, може да се наложи да тествате по-често, например ежемесечно или дори ежеседмично.

Уеб приложенията ви са критични за бизнеса

На всяка система, която е от съществено значение за дейността на вашата организация, трябва да се обърне специално внимание, когато става въпрос за сигурност. Това е така, защото пробив в тези системи може да има опустошително въздействие върху бизнеса ви. Ако вашата организация разчита в голяма степен на уеб приложенията си за осъществяване на дейността си, всеки престой може да доведе до значителни финансови загуби.

Представете си например, че сайтът за електронна търговия на вашата организация е прекъснат за един час поради DDoS атака. Не само ще загубите потенциални продажби, но и ще трябва да се справите с разходите за атаката и негативната публичност.

За да избегнете този сценарий, е важно да гарантирате, че вашите уеб приложения са винаги достъпни и сигурни.

Уеб приложенията, които не са от критично значение, обикновено могат да бъдат тествани веднъж годишно, но тези, които са от критично значение за бизнеса, трябва да бъдат тествани по-често, за да се гарантира, че не са изложени на риск от сериозен срив или загуба на данни.

Вашите уеб приложения са насочени към клиентите

Ако всички ваши уеб приложения са вътрешни, може да ви се наложи да извършвате тестове  по-рядко. Ако обаче уеб приложенията ви са достъпни за обществеността, трябва да сте особено старателни в усилията си за сигурност.

Уеб приложенията, които са достъпни за външен трафик, е по-вероятно да бъдат обект на атаки от страна на нападателите. Това е така, защото има по-голям набор от вектори на атака и повече потенциални точки за влизане, които нападателят може да използва.

Уеб приложенията, насочени към клиенти, обикновено имат и повече потребители, което означава, че всички уязвимости в сигурността ще бъдат използвани по-бързо. Например, уязвимост в XSS (cross-site scripting) във външно уеб приложение с милиони потребители може да бъде използвана в рамките на часове след откриването ѝ.

За да се предпазите от тези заплахи, е важно да тествате уеб приложенията, насочени към клиенти, по-често, отколкото вътрешните. В зависимост от размера и сложността на приложението може да се наложи да правите pen test всеки месец или дори всяка седмица.

Работите в отрасъл с висок риск

Някои индустрии са по-склонни да бъдат обект на хакери поради чувствителния характер на техните данни. Например организациите в сферата на здравеопазването често са обект на хакерски атаки поради съхраняваната от тях защитена здравна информация (ЗЗИ).

Ако организацията ви е във високорисков отрасъл, трябва да обмислите по-често провеждане на тестове , за да сте сигурни, че системите ви са защитени и отговарят на нормативните изисквания. Това ще ви помогне да защитите данните си и да намалите вероятността от скъпоструващ инцидент със сигурността.

Не разполагате с вътрешни операции по сигурността или екип за Pen testing

Това може да звучи нелогично, но ако нямате вътрешен екип по сигурността, може да се наложи да провеждате по-често тестове.

Организациите, които нямат специализиран персонал по сигурността, е по-вероятно да са уязвими на атаки.

Без вътрешен екип по сигурността ще трябва да разчитате на външни пен тестери за оценка на състоянието на сигурността на вашата организация.

В зависимост от размера и сложността на организацията ви може да се наложи да провеждате pen тестове всеки месец или дори всяка седмица.

Фокусирани сте върху сливания или придобивания

По време на сливане или придобиване често настъпва голямо объркване и хаос. Това може да затрудни следенето на всички системи и данни, които трябва да бъдат защитени. В резултат на това е важно да провеждате по-често pen testing през тези периоди, за да сте сигурни, че всички системи са защитени.

Сливанията и поглъщанията също така означават, че добавяте нови уеб приложения към инфраструктурата на вашата организация. Тези нови приложения може да имат неизвестни уязвимости в сигурността, които могат да изложат на риск цялата ви организация.

През 2016 г. Marriott придоби Starwood, без да е наясно, че две години по-рано хакери са използвали недостатък в резервационната система на Starwood. Компрометирани бяха над 500 милиона записи на клиенти. Това постави Marriott в гореща ситуация с британския контролен орган ICO, в резултат на което в Обединеното кралство бяха наложени глоби в размер на 18,4 млн. паунда. Според Блумбърг предстоят още неприятности, тъй като хотелският гигант може да „бъде изправен пред глоби от регулаторни органи и съдебни разходи в размер на до 1 млрд. долара“.

За да се предпазите от тези заплахи, е важно да провеждате pen тестове преди и след придобиването. Това ще ви помогне да идентифицирате потенциални проблеми със сигурността, така че те да могат да бъдат отстранени, преди преходът да е приключил.

Важността на непрекъснатото тестване

Макар че периодичното тестване  е важно, в днешния свят то вече не е достатъчно. Тъй като предприятията разчитат все повече на своите уеб приложения, непрекъснатото тестване  става все по-важно.

Съществуват два основни вида тестване: периодично и непрекъснато.

Традиционният pen testing се извършва по определен график, например веднъж годишно. Този тип тестване вече не е достатъчен в днешния свят, тъй като предприятията разчитат все повече на своите уеб приложения.

Непрекъснатият pen testing е процес на непрекъснато сканиране на системите ви за уязвимости. Това ви позволява да идентифицирате и отстранявате уязвимостите, преди те да бъдат използвани от нападателите. Непрекъснатото тестване ви позволява да откривате и отстранявате проблеми със сигурността в момента на възникването им, вместо да чакате периодична оценка.

Непрекъснатото тестване е особено важно за организации, които имат гъвкав цикъл на работа. Тъй като нов код се внедрява често, има по-голяма вероятност да бъдат въведени уязвимости в сигурността.

Моделите на Pen testing като услуга са мястото, където непрекъснатото тестване е на висота. Платформите PTaaS (Penetration-Testing-as-a-Service)  дават възможност на бизнеса да провежда непрекъснато pen testing с лекота. Платформата  е винаги в крак с най-новите заплахи и уязвимости за сигурността на организацията, така че можете да сте сигурни, че вашите уеб приложения са защитени.

  • Ръчно и автоматизирано тестване :  PTaaS  съчетава ръчно и автоматизирано тестване , за да ви даде най-доброто от двата подхода. Това означава, че можете да откривате и отстранявате уязвимости по-бързо, като същевременно получавате предимствата на експертния анализ.
  • Осигурява цялостно покритие: PTaaS  покрива всички уязвимости от Топ 10 на OWASP и дори повече. Това означава, че можете да сте сигурни, че вашите уеб приложения са защитени срещу най-новите заплахи.
  • Е икономически ефективна: С PTaaS  плащате само за услугите, от които се нуждаете. Това прави по-достъпно провеждането на непрекъснато тестване, дори за малки фирми.

Вместо заключение 

Редовното провеждане на pen testing е от съществено значение за сигурната разработка на уеб приложения. В зависимост от размера на вашата организация, индустрията и цикъла на разработване може да се наложи да преразгледате графика си за провеждане на pen testing.

Цикълът на pen testing веднъж годишно може да е достатъчен за някои организации, но за повечето не е. За критични за бизнеса, насочени към клиенти или уеб приложения с голям трафик трябва да обмислите непрекъснато тестване.

Платформите PTaaS  правят лесно и рентабилно провеждането на непрекъснато тестване.

Източник: The Hacker News

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
6 ноември 2024

Германия готви закон за защита на белите хакери

Федералното министерство на правосъдието в Германия е изготвило зак...
Бъдете социални
Още по темата
31/10/2024

Доклад за заплахите за корп...

На съвременното работно място, ориентирано към...
30/10/2024

MIND излиза от стелт режим ...

MIND излезе от скрит режим с...
21/10/2024

Прекаляване с акронимите - ...

В съвременното предприятие сигурността на данните...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!