Еволюцията на софтуера винаги ни изненадва. Спомням си как през 1997 г. заложих срещу компютъра на IBM Deep Blue по време на шахматния му мач срещу гросмайстора Гари Каспаров и останах смаян, когато машината обяви победа. Прехвърлихме се бързо напред към днешния ден и дали само преди три години щяхме да си представим, че един чатбот може да пише есета, да обслужва обаждания за поддръжка на клиенти и дори да изработва произведения на изкуството в търговската мрежа? Продължаваме да се удивляваме на това, което софтуерът може да постигне – задачи, които някога сме смятали за строго човешки. Такава е изненадата, която се разгръща в сферата на тестването на киберсигурността. Дръжте се здраво!
Ако преди 10 години някой ми беше казал, че един ден компютърният софтуер ще може да изпълнява работата на етичен хакер, щях да кажа „Няма как, Хосе“. Тестването за проникване – съкратено ТП – е процес, при който експерти имитират хакери, за да тестват защитата на дадена компания. Това е критична практика, предписана от основни регулаторни органи като PCI DSS, HIPAA и DORA, за да се гарантира безопасността на мрежата. Въпреки критичната си роля, от десетилетия насам PT се провежда по един и същ начин.
Традиционното ПТ не е евтино, като варира от 30 000 USD за основни външни уеб тестове до 150 000 USD за сложни анализи на облачни системи. Процесът е дълъг, твърде често отнема два до три месеца от първоначалната заявка за услуга до окончателния отчет и обхваща само 5-10 % от активите на организацията при всяко преминаване.
Сега разгледайте новата икономическа ситуация: на цената на едно ръчно пентестово упражнение може да се извършват автоматизирани ежедневни упражнения с десет пъти по-голям обхват във всяко изпълнение през цялата година. Финансовият аргумент за автоматизацията е наистина разрушителен. Със софтуера цената на едно тестово изпълнение се превръща от цената на BMW M4 в цената на чифт маратонки Air Jordan. Това е толкова драстично.
Докато в по-широката област на киберсигурността се наблюдава бърз напредък, като например задвижваната от изкуствен интелект сигурност на крайните точки, PT се развива бавно. Pentera поведе инициативата, като въведе възможности за автоматизирано тестване на сигурността още през 2015 г. Така се родиха решенията за валидиране на сигурността, базирани на алгоритми. Комерсиалният му дебют беше посрещнат с ентусиазъм от няколко ранни осиновители и скептицизъм от много традиционалисти. Почти десетилетие по-късно Pentera и няколко други компании разшириха обхвата до напълно автоматизирано тестване за проникване в инфраструктурата и приложенията, като хиляди възторжени специалисти по корпоративна сигурност използват софтуера ежедневно.
Преходът към автоматизация набира скорост и ползите от честото и задълбочено тестване са очевидни. Въпреки че все още има място за експертната работа на майстор-пентестер за тестване на приложения, физико-кибернетични пътища за атака и други напреднали и поръчкови сценарии, необходимостта от широко покритие и чести проверки е ясна. Когато става въпрос за справяне със стотиците милиони нетествани системи в света, софтуерните решения предлагат несравнима ефективност и достъпност. Тъй като предизвикателствата в областта на киберсигурността продължават да нарастват, инвестирането в автоматизирано ПТ е не просто умен ход – то е от съществено значение за поддържане на стабилна защита на сигурността, без да се нарушава банковата система.
Бъдещето на тестването на киберсигурността е в софтуера. И така, питам аз: защо да плащате на пентестер?
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.