Как стать автором
Обновить
Positive Technologies
Лидер результативной кибербезопасности

Есть ли необходимость в автоматизации тестирования на проникновение

Время на прочтение10 мин
Количество просмотров1.7K

Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре.

В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.

В основе статьи – результаты опроса, который мы провели среди представителей российских компаний среднего и крупного бизнеса. Опросили около 300 специалистов из числа директоров по информационной безопасности и информационным технологиям, руководителей SOC, а также других сотрудников, принимающих решения, связанные с ИТ-инфраструктурой и информационной безопасностью компаний из сферы ИТ, транспорта, промышленности, финансового сектора, ритейла и других отраслей.

О компаниях-респондентах

В исследовании принимали участие организации разного размера:

  • от 1000 до 2000 сотрудников;

  • с численностью сотрудников более 2000.

Среди специалистов, отвечающих на вопросы:  руководители SOC (38%), ИТ-директора (30%) и директора по ИБ (16%).

Сфера деятельности компаний — участников опроса
Сфера деятельности компаний — участников опроса

Основные результаты

За последний год атакам подвергались 55% опрошенных компаний, из них около 25% были атакованы меньше полугода назад. Чаще всего скомпрометированными оказывались удаленные устройства.

Среди опрошенных компаний 79% указали, что изменения в их ИТ-среде происходят чаще, чем раз в квартал. При этом только 21% опрошенных заказывают услуги по ручному тестированию на проникновение, из них регулярные пентесты делают только 64%.

В среднем компании используют от 10 до 30 продуктов для ИБ. При этом планы на закупку новых решений в перспективе до двух лет есть у 63% опрошенных компаний.

Кибератаки в российских организациях

Злоумышленники проникают в инфраструктуру предприятия, используя разные методы: в ход идут и социальная инженерия, и рассылки с вредоносными вложениями, и эксплуатация уязвимостей.

Несмотря на значительные инвестиции в инфраструктуру безопасности, за последний год жертвами кибератак стали 55% опрошенных организаций, из которых каждая четвертая была атакована в последние полгода. Остальные участники опроса отметили, что сталкивались с инцидентами безопасности более полутора лет назад, и только небольшая часть компаний никогда не подвергалась кибератакам.

Последствия кибератак

Восемь из десяти опрошенных компаний столкнулись с серьезными последствиями кибератак в 2024 году, и лишь 13% компаний отметили, что не получили значительного урона от взлома. Четверть организаций сообщили о финансовых потерях — это говорит о том, что одной из главных целей для злоумышленников остаются деньги. Такое же количество компаний (чуть более 25%) сообщили о репутационных потерях. Однако самые большие риски связаны с непрерывностью бизнеса: 48% опрошенных отметили, что атака привела к незапланированным простоям, из-за которых компании были вынуждены приостановить ключевые процессы или потеряли контроль над оборудованием. Влияние атаки на конфиденциальные данные отметили 34% респондентов, а для 18% компаний инцидент привел к юридическим проблемам.

Негативные последствия кибератак
Негативные последствия кибератак

Злоумышленники атакуют по всем направлениям, не ограничиваясь конкретными векторами или отдельными сегментами инфраструктуры компаний. Периметр организации сильно размыт, и хакеры вынуждены тщательно готовиться к кибератаке — изучать инфраструктуру и собирать данные. Исследование показывает, что под угрозой находятся не только удаленные или локальные устройства, но и облачная инфраструктура, которой требуются специальные средства защиты. Можно предположить, что с ростом использования облачных решений число атак на них будет только расти.

Используемые продукты для ИБ

Большинство организаций, участвовавших в опросе, используют от 10 до 30 решений для ИБ, и только 20% компаний используют менее 10 автоматизированных средств защиты. Несмотря на преимущества многоуровневого обеспечения безопасности, на практике такое количество систем не решает проблемы. При неправильной настройке решения производят много уведомлений о потенциальных проблемах и инцидентах, что затрудняет мониторинг и управление инфраструктурой, ограничивая способность организации обнаруживать угрозы и реагировать на них. Кроме того, поддержка работоспособности множества систем и их интеграции между собой требует дополнительных ресурсов, которые не все компании могут себе позволить.

Количество используемых продуктов для ИБ
Количество используемых продуктов для ИБ

Количество используемых продуктов для ИБ зависит от размера компании: в крупных компаниях в 2,5 раза чаще используется более 30 продуктов. Менее 10 систем чаще используют компании, в которых работает менее 2000 сотрудников. Среди крупных компаний встречаются и такие, которые используют для защиты инфраструктуры более 50 решений.

Мы уточнили у компаний, планируют ли они закупки решений для информационной безопасности в краткосрочной или долгосрочной перспективе.

Результат опроса показывает, что для крупных компаний более характерно долгосрочное планирование: планы на 5 и более лет имеют 13% очень крупных компаний, тогда как среди организаций размером 1000–2000 сотрудников такие планы имеют только 3% компаний. При этом подавляющее большинство компаний (63%) имеет планы по закупкам систем для ИБ только в перспективе ближайших 1–2 лет, что говорит о тактическом уровне планирования. Возможно, для стратегического планирования компаниям не хватает информации о том, на каком уровне безопасности они находятся в данный момент.

Проблема №1

Несмотря на инвестиции в ИБ, компании все еще недостаточно защищены и постоянно сталкиваются с кибератаками, что вынуждает их закупать новые средства защиты. С одной стороны, это говорит о том, что компании выстраивают эшелонированную защиту и многоступенчатую безопасность. С другой стороны — большое количество СЗИ создает много событий безопасности, которые требуют внимательного изучения службой ИБ, затрудняя определение приоритетных инцидентов и потенциальных угроз.

Почему компании все еще уязвимы к кибератакам

Знание собственной инфраструктуры

По данным опроса, каждая третья компания (30%), независимо от числа сотрудников, не уверена, что обладает точной информацией об аппаратном и программном обеспечении, которое формирует основу операционной деятельности. При этом практически любой ИТ-актив компании может стать входной точкой для злоумышленников, и специалисты, отвечающие за безопасность, должны знать, что именно нужно защищать.

Сложность ИТ-инфраструктуры растет во всех компаниях, и они вынуждены внедрять новые решения для управления безопасностью и поддержания киберустойчивости. Развертывание нового ПО, добавление или удаление рабочих станций неизбежно меняют инфраструктуру. Каждое изменение создает новые потенциальные бреши, которые могут использовать злоумышленники. Инфраструктура компаний состоит из дата-центров, ДМЗ, сегментов рабочих станций, географически распределенных офисов с разными часовыми поясами, тестовых сегментов и т. д. Все эти сегменты имеют различный уровень и особые требования к защите ИБ, контролировать которые в моменте очень сложно.

Изменение активов в инфраструктуре

Около 80% опрошенных компаний, независимо от размера, добавляют или отключают активы минимум раз в квартал, что сильно меняет инфраструктуру и может оказать влияние на уровень защищенности. Добавление и отключение активов (серверов, сетевых устройств, ПО, систем управления БД, а также различных видов конфиденциальных данных) может спровоцировать появление дополнительных уязвимостей и незащищенных мест, которые могут быть использованы для проведения атак.

Проблема №2

Сложность инфраструктуры компаний непрерывно растет: постоянно меняется количество активов, увеличивается количество средств защиты — это требует постоянной проверки настроек и состояния СЗИ, источников событий и процессов ИБ (мониторинг, реагирование, харденинг, treat hunting и т. д.). Из-за динамичных изменений инфраструктуры компании не всегда точно знают о состоянии ИТ-активов и том, как настроена их безопасность, что создает дополнительные уязвимые места, которыми могут воспользоваться злоумышленники.

Оценка защищенности

Оценка защищенности инфраструктуры может выявить узкие места и неэффективные процессы, которые необходимо оптимизировать для улучшения киберустойчивости компании. Разнообразие методов анализа защищенности позволяет выбрать наиболее подходящие, в зависимости от ресурсов и уровня зрелости ИБ в компании. По данным исследования «Готовы ли российские компании противостоять кибератакам?», наиболее объективную оценку уровня защищенности можно получить, если проводить анализ, действия которого имеют максимальное сходство с действиями реальных злоумышленников.

Регулярная оценка состояния безопасности

Более 90% компаний проводят оценку безопасности и защищенности, 61% из них делают это регулярно.

Это связано с тем, что многим компаниям необходимо соблюдать требования регуляторов в области защиты информации, несоответствие которым может привести к серьезным штрафам. Кроме того, регулярная оценка инфраструктуры помогает выявлять и устранять слабые места, которые могут быть использованы для проникновения в систему и кражи данных, менять процессы, плейбуки и сценарии реагирования на угрозы, а также сфокусироваться на самых вероятных векторах атак.

Бюджет на тестирование безопасности

Компании, которые инвестируют не только в системы для информационной защиты, но и в их тестирование, имеют меньше шансов столкнуться с кибератаками, утечками данных и другими киберугрозами, что способствует стабильному и успешному развитию бизнеса.

Какой процент бюджета на кибербезопасность выделен на тестирование защитных мер
Какой процент бюджета на кибербезопасность выделен на тестирование защитных мер

В среднем на оценку защищенности тратится около 10–30% бюджета, в более крупных компаниях затраты несколько выше. Некоторые компании могут неправильно оценивать важность тестирования защищенности, не придавать ему значения и направлять основную часть бюджета на выстраивание процессов защиты инфраструктуры.

Методы проверки безопасности

Мы опросили компании, которые регулярно тестируют защищенность, и выяснили, что самые популярные способы проверки — аудит безопасности и использование сканеров уязвимостей. Почти в два раза реже используются киберучения и специализированные программы. При этом ручной пентест заказывают только 21% компаний, хотя в мире наблюдается устойчивый рост интереса к подобным услугам.

Какие методы проверки безопасности используют компании
Какие методы проверки безопасности используют компании

Результаты тестирования

Традиционно во многих отраслях проверка защищенности возникла как необходимость соответствовать требованиям регуляторов. Нет сомнений в том, что эти требования, даже если они навязаны регулирующими органами, по-прежнему в некоторой степени стимулируют компании проводить тестирование на безопасность.

Как используются результаты тестирования
Как используются результаты тестирования

Однако основной причиной для проверки защищенности является необходимость приоритизации закупок и выбора действительно нужных решений. Кроме того, немаловажным фактором называют демонстрацию результатов топ-менеджменту для информирования о рисках кибербезопасности как внутри компании, так и за ее пределами. Из опрошенных специалистов по ИБ 48% сообщили, что делятся результатами с высшим руководством, так как с увеличением числа громких нарушений приходит осознание важности кибербезопасности, понимание бизнес-рисков и возможного финансового ущерба от последствий атак. Экспертные знания в области ИБ становятся все более распространенными среди топ-менеджмента. Вполне вероятно, что управленцы все чаще будут запрашивать отчеты для оценки состояния безопасности, поэтому важно, чтобы эти отчеты были исчерпывающими и понятными. Результаты проверки также выходят за пределы организаций. В связи с ростом рисков от третьих лиц и возможности компрометации через цепочку поставок 20% опрошенных компаний делятся результатами со своими клиентами.

Частота заказа ручного пентеста

Среди всех опрошенных компаний 79% сообщают, что их инфраструктура меняется не реже одного раза в квартал, однако услуги по ручному тестированию на проникновение заказывают только 21%.

Как часто компании заказывают тестирование на проникновение
Как часто компании заказывают тестирование на проникновение

Периодичность проведения регулярных пентестов очень важна, так как чем меньше интервал между проверками, тем более актуальную информацию о наличии уязвимостей и потенциальных действиях злоумышленника будет получать отдел ИБ. Каждый день хакеры совершенствуют тактики и техники атак, появляется информация о ранее неизвестных уязвимостях, динамично изменяется инфраструктура — все это значительно влияет на состояние защищенности. Для оперативного реагирования на угрозы необходимо регулярно проверять безопасность критически важных узлов и ключевых систем.

Частота проведения пентеста зависит от множества факторов, включая тип организации, характеристики информационной системы и изменение ландшафта угроз. Не всегда есть возможность проводить тестирование при внесении изменений в цифровые активы, например при внедрении новых технологий, обновлении ПО или изменении бизнес-процессов. Зачастую компании проводят пентест для соблюдения отраслевых стандартов и требований регуляторов. Например, согласно положению 683-П Центрального банка РФ, банки и НКО обязаны проводить тестирование на проникновение ежегодно.

По результатам исследования, только 11% компаний проводят непрерывный пентест, а 14% заказывают пентест ежемесячно. Проверяют защищенность тестированием на проникновение раз в квартал 39% компаний. Остальные заказывают такие услуги гораздо реже и делают это нерегулярно либо по запросу.

Контроль и проверка кибербезопасности, а также оценка эффективности работы средств защиты информации — две основные мотивации для проведения тестирования на проникновение, кроме выполнения требований регуляторов. Пентест также используется для оценки потенциального ущерба от атак и для выбора стратегии инвестирования в обеспечение безопасности. Это говорит о том, что компании начинают использовать пентест не только для выполнения требований регулирующих органов, но и для оценки реального состояния киберустойчивости инфраструктуры.

Барьеры для пентеста

Двумя главными препятствиями для заказа регулярного тестирования на проникновение являются отсутствие бюджета, а также угроза нарушения непрерывности бизнес-процессов. Прежде всего, перед службой ИБ стоит задача обеспечить безопасность ИТ-среды и бесперебойность бизнес-операций. Руководители ИТ и ИБ с осторожностью относятся к пентестам, поскольку многие сталкивались с простоями в работе. Это говорит о том, что компаниям необходимо работать только с самыми опытными командами, которые имеют хорошую репутацию и многолетний опыт работы по оказанию таких услуг и могут обеспечить высокий уровень проверки безопасности с минимальным риском для процессов. Немало компаний, особенно представители небольшого бизнеса, также озадачены необходимостью принятия мер по исправлению обнаруженных проблем безопасности.

Барьеры для заказа услуг ручного пентеста
Барьеры для заказа услуг ручного пентеста

Кто отвечает за проверку безопасности

Только в 10% крупных компаний есть своя команда пентестеров (red team). Примерно в половине опрошенных компаний есть специалисты, которые отвечают исключительно за организацию оценки безопасности, а у 41% опрошенных этой задачей занимаются специалисты со смежными обязанностями.

Есть ли внутри компании специалисты, отвечающие за проверку безопасности
Есть ли внутри компании специалисты, отвечающие за проверку безопасности

Очевидно, есть определенная нехватка квалифицированных кадров, которые отвечали бы за выстраивание процессов тестирования безопасности и были поглощены только этими задачами.

Проблема №3

С одной стороны, компании хотели бы проверять киберустойчивость не только для выполнения требований регулятора, но и для понимания реальной ситуации с безопасностью в своих инфраструктурах. С другой — на рынке есть дефицит квалифицированных команд для проведения качественного пентеста, а внутри компаний недостаточно собственных ресурсов для выстраивания процесса тестирования. Кроме того, российские компании испытывают недостаток бюджета на проведение регулярных проверок и опасаются нарушения бизнес-процессов.

Как обеспечить регулярную проверку безопасности

Российские компании вынуждены работать в условиях изменений IT-инфраструктуры и постоянно меняющегося ландшафта киберугроз. Возможность проводить регулярный ручной пентест есть не у всех компаний, но есть потребность минимизировать риски безопасности, выявлять проблемы защиты и тщательно планировать закупки решений для ИБ с учетом возможностей и потребностей ИТ-инфраструктуры.

Обеспечить регулярное тестирование защищенности могут инструменты, которые проводят автоматические пентесты так, как это делают настоящие хакеры. Такая система проверяет защищенность инфраструктуры с использованиям инструментария злоумышленников.

Теги:
Хабы:
Всего голосов 10: ↑8 и ↓2+7
Комментарии0

Публикации

Информация

Сайт
www.ptsecurity.com
Дата регистрации
Дата основания
2002
Численность
1 001–5 000 человек
Местоположение
Россия