Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.
Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.
Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, с ними можно ознакомиться на сайте. В этой статье хочу остановиться на ключевых моментах, в частности на уязвимостях.
Все статьи подряд / Информационная безопасность / Хабр
На мой взгляд, пентесты, сами по себе, именно как реализация проникновений в ИС и сети, мало что дают для обеспечения безопасности. Это одна из самых популярных, дорогих и, вместе с тем, бесполезных для большинства заказчиков услуг.
Для обеспечения адекватной защиты нужна систематическая работа по управлению уязвимостями, конфигурациями и обновлениями, основанная на оценке бизнес рисков.
А то, что отдельно взятый хакер смог куда-то проникнуть с использованием критичной уязвимости из CVE каталога мало о чем говорит и не стоит потраченных на это проникновение денег. Для выявления известных уязвимостей не требуется пентест и их эксплуатация.
Стоит оговориться, что для особо критичных систем нужны и пентесты и учения по кибербезопасности. Просто надо разделять мероприятия по выявлению уязвимостей, анализ защищенности, пентесты, учения, а не называть это все пентестами.