В сучасних умовах кожен бізнес, організація або підприємство вимагає підтримки своїх IT-підсистем. Адже доступ в мережу – це не тільки розширення корпоративних можливостей, але і незліченну кількість викликів і небезпек.
Статистика стверджує, що приблизно 60% найважливіших корпоративних даних зберігаються в локальних мережах, персональних комп’ютерах, поштових скриньках співробітників. При цьому все більше підвищується мобільність комп’ютерної техніки: можливість працювати поза офісом через віддалене управління, під час відряджень і т.д. Саме це головна причина, чому кількість витоків даних за останні 2-3 роки зросла на 62% (за даними Symantec). Що ще важливіше – з них 44% мають умисний характер (так стверджує InfoWatch).
Тому керівництва різних організацій все частіше вдаються до аудиту інформаційних систем, який дозволяє виявити і усунути вразливі місця системи безпеки. Таким чином вони хочуть припинити несанкціоноване проникнення в свою локальну мережу. Але крім традиційного аудиту також має місце безпосередньо тестування системи. Ця процедура створює наближені до реальності умови і моделює спробу проникнути в систему безпеки організації ззовні. Такий показовий злом і перевірка на стійкість до сторонніх проникненням демонструє рівень безпеки системи. Назва цієї процедури – тестування на проникнення або penetrationtesting.
Чим загрожує незаконне проникнення в мережу
Один з наймасштабніших прикладів віддаленого проникнення в чужу мережу 2018 го року – крадіжка персональних даних 1,5 млн клієнтів медичних установ SingHealth в Сінгапурі. При цьому постраждали не тільки звичайні громадяни, але навіть прем’єр-міністр країни і деякі чиновники. Так, кіберзлочинці змогли отримати величезний масив даних про пацієнтів клінік, включаючи їх імена, адреси, дати народження і навіть дані документів. Незважаючи на всі виправдання компанії SingHealth про те, що ця атака була ретельно спланована, репутація медичних установ була підірвана.
До речі, витік даних може відбутися не тільки в таких великих компаніях. У зоні ризику знаходяться будь-які, навіть малі організації, адже кожна з них представляє інтерес для шахраїв і третіх осіб. У будь-якому випадку, приділивши більше уваги системі інформаційної безпеки компанії, керівництво SingHealth не виявилося б у подібній ситуації.
Відомий американський підприємець Уоррен Баффет стверджує, що для створення репутації бізнесу потрібно 20 років, а для втрати – менше 5-ти хвилин. Дійсно, незаконне проникнення може означати:
втрату персональних і корпоративних даних компанії;
зниження її акцій і прибутку;
численні скарги і судові позови;
втрату вищого керівництва своїх посад;
падіння іміджу бренду та ін.
В результаті будь-який витік або несанкціоноване проникнення в бази даних компанії можуть залишити незабутні наслідки. Саме тому бізнес активно використовує penetration testing. Мета цього тесту – визначити, чи зможе поточний рівень безпеки IT-систем витримати вторгнення потенційного кіберзлочинця.
Тестування системи відбувається за такою схемою:
Збір даних. Це допоможе детальніше дізнатися про умови функціонування всіх систем і підсистем, підібрати кращу схему тестового проникнення. Важливо врахувати типи і версії використовуваних пристроїв, операційних систем, серверів.
Проведення втручання. За спланованим раніше сценарієм фахівці здійснюють тестове проникнення для оцінки вразливостей. Це відбувається в ручному та автоматичному режимах, щоб отримати максимум інформації.
Складання звіту. У ньому експерти вказують повний перелік технічних та організаційних рекомендацій для поліпшення системи безпеки. Якщо пентест не був здійснений за рахунок високих стандартів безпеки, компанія отримає додаткові поради щодо зниження витрат на свої потреби в цьому питанні.
Після проведення пентеста вам може знадобитися розробка та імплементація систем захисту даних, контроль захищеності і подальше обслуговування.
У зловмисників є безліч шляхів для незаконного проникнення. Найчастіше вони застосовують шкідливу рекламу, фішингові атаки, приховані завантаження та ін. Після отримання доступу до необхідного об’єкту кіберзлочинець має всі можливості для заволодіння конфіденційними даними, внесення змін до бази даних і інших незаконних дій. За фактом їм легко досягти своїх цілей, якщо компанія не потурбувалася про інформаційну захищеності і не провела пентест безпеки (penetration test).