Търсене
Close this search box.

Еволюцията на софтуера винаги ни изненадва. Спомням си как през 1997 г. заложих срещу компютъра на IBM Deep Blue по време на шахматния му мач срещу гросмайстора Гари Каспаров и останах смаян, когато машината обяви победа. Прехвърлихме се бързо напред към днешния ден и дали само преди три години щяхме да си представим, че един чатбот може да пише есета, да обслужва обаждания за поддръжка на клиенти и дори да изработва произведения на изкуството в търговската мрежа? Продължаваме да се удивляваме на това, което софтуерът може да постигне – задачи, които някога сме смятали за строго човешки. Такава е изненадата, която се разгръща в сферата на тестването на киберсигурността. Дръжте се здраво!

Демистифициране на тестовете за проникване

Ако преди 10 години някой ми беше казал, че един ден компютърният софтуер ще може да изпълнява работата на етичен хакер, щях да кажа „Няма как, Хосе“. Тестването за проникване – съкратено ТП – е процес, при който експерти имитират хакери, за да тестват защитата на дадена компания. Това е критична практика, предписана от основни регулаторни органи като PCI DSS, HIPAA и DORA, за да се гарантира безопасността на мрежата. Въпреки критичната си роля, от десетилетия насам PT се провежда по един и същ начин.

Свикнали сме да плащаме сметката

Традиционното ПТ не е евтино, като варира от 30 000 USD за основни външни уеб тестове до 150 000 USD за сложни анализи на облачни системи. Процесът е дълъг, твърде често отнема два до три месеца от първоначалната заявка за услуга до окончателния отчет и обхваща само 5-10 % от активите на организацията при всяко преминаване.

Сега разгледайте новата икономическа ситуация: на цената на едно ръчно пентестово упражнение може да се извършват автоматизирани ежедневни упражнения с десет пъти по-голям обхват във всяко изпълнение през цялата година. Финансовият аргумент за автоматизацията е наистина разрушителен. Със софтуера цената на едно тестово изпълнение се превръща от цената на BMW M4 в цената на чифт маратонки Air Jordan. Това е толкова драстично.

Кратка история на валидирането на сигурността

Докато в по-широката област на киберсигурността се наблюдава бърз напредък, като например задвижваната от изкуствен интелект сигурност на крайните точки, PT се развива бавно. Pentera поведе инициативата, като въведе възможности за автоматизирано тестване на сигурността още през 2015 г. Така се родиха решенията за валидиране на сигурността, базирани на алгоритми. Комерсиалният му дебют беше посрещнат с ентусиазъм от няколко ранни осиновители и скептицизъм от много традиционалисти. Почти десетилетие по-късно Pentera и няколко други компании разшириха обхвата до напълно автоматизирано тестване за проникване в инфраструктурата и приложенията, като хиляди възторжени специалисти по корпоративна сигурност използват софтуера ежедневно.

Приемане на автоматизирани решения

Преходът към автоматизация набира скорост и ползите от честото и задълбочено тестване са очевидни. Въпреки че все още има място за експертната работа на майстор-пентестер за тестване на приложения, физико-кибернетични пътища за атака и други напреднали и поръчкови сценарии, необходимостта от широко покритие и чести проверки е ясна. Когато става въпрос за справяне със стотиците милиони нетествани системи в света, софтуерните решения предлагат несравнима ефективност и достъпност. Тъй като предизвикателствата в областта на киберсигурността продължават да нарастват, инвестирането в автоматизирано ПТ е не просто умен ход – то е от съществено значение за поддържане на стабилна защита на сигурността, без да се нарушава банковата система.

Бъдещето на тестването на киберсигурността е в софтуера. И така, питам аз: защо да плащате на пентестер?

Видео

 

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
26/09/2024

Вторият Pwn2Own Automotive ...

Етичните хакери могат да спечелят над...
28/08/2024

Уязвимост при изпълнение на...

Критична уязвимост в многоезичната приставка WPML...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!