Автор: Цифровая эпоха пришла и ушла. Сегодня мы живем в постцифровую эпоху. Приложения и системы больше не становятся основной частью бизнеса, теперь они составляют основу мировой бизнес-экосистемы. И вместо пользователей программного обеспечения большинство организаций теперь сами по себе являются технологическими компаниями; проектирование, разработка и внедрение приложений составляют основу работоспособности и роста. Это захватывающее время для ведения бизнеса.
Однако, естественно, в динамичных мультиплексных цифровых инфраструктурах, где бизнес определяется жизненными циклами разработки, приложения накапливаются, а киберриски быстро развиваются . Развитие и масштабирование открывают возможности для организаций, а также для большего числа злоумышленников, стремящихся монополизировать это накопление. Появление новых рисков происходит постоянно, и их усугубляет возросшая доступность методов злоумышленников. Это приводит нас к важному вопросу: как вы масштабируете свою деятельность по тестированию безопасности, чтобы конкурировать с растущим риском?
Тестирование на проникновение (https://softo-mir.ru/chto-takoe-pentest-i-zachem-on-trebuetsya) всегда было основным строительным блоком кибербезопасности, и с большим количеством приложений и систем, которые нужно тестировать, чем когда-либо прежде, это остается таковым. Но отрасль движется вперед, и игровое поле для тестирования меняется. В связи с этим в этой статье подробно рассматривается тестирование на проникновение — что это такое, как его лучше всего использовать и где оно сочетается с новыми, непрерывными подходами к тестированию .
Что такое тестирование на проникновение?
Тестирование на проникновение (также известное как пентестирование; пентестирование) — это наступательное упражнение по обеспечению безопасности, в котором используются ручные и автоматизированные (на основе инструментов) методы для разработки и развертывания контролируемой атаки на активы организации для проверки их безопасности. «Безопасность» в этом контексте определяется устойчивостью указанных активов, т. е. их способностью противостоять различным вредоносным методам , используемым против них для:
Нанести им вред (испортить, уничтожить или зашифровать)
Извлечение информации и секретов
Превратите их в средства для нацеливания на другие активы.
Результатом теста на проникновение является отчет. Это предоставляет подробную информацию о безопасности протестированных активов, чтобы организация, проходящая тестирование, могла устранить уязвимости и ошибки и улучшить свои процессы внедрения и управления приложениями.
Тестирование на проникновение — это деятельность на определенный момент времени: она оценивает безопасность актива в конкретный момент. В отличие от непрерывных действий по тестированию безопасности, обсуждаемых далее в этой статье , он не предназначен для динамического выполнения.
Зачем мне нужно проводить тестирование на проникновение?
Тестирование на проникновение — это лишь одно из многих действий, необходимых в рамках надежной стратегии безопасности, ориентированной на отказоустойчивость. На высоком уровне организации нуждаются в тестировании на проникновение, потому что оно выявляет слабые места на основе активов, присутствующие на поверхности атаки. В практическом бизнес-контексте это может привести ко многим положительным результатам:
