Automated Penetration Testing и BAS: сравнение функций для оценки эффективности ИБ

Automated Penetration Testing и BAS: сравнение функций для оценки эффективности ИБ
В составе практически всех создаваемых сейчас приложений присутствуют компоненты Open Source. Эксперты ИБ-компании Veracode отметили, что 79% разработчиков не занимаются дальнейшим обновлением зависимых компонент после включения их в продукт, причем речь идет не только о мажорных, но и минорных обновлениях.
Этот вывод представлен в отчете State of Software Security v11: Open Source Edition («Состояние безопасности приложений») и основан на результатах более чем 13 миллионов сканирований 86 тысяч репозиториев.

Эксперты составили подборку наиболее уязвимых из популярных библиотек за период 2019-2020 годы:

Рисунок 1. Наиболее уязвимые библиотеки в 2019-2020 годах.

Примечательно, что процесс выбора новой библиотеки формализован и выполняется не более чем в половине организаций, занимающихся разработкой. А вопросы безопасности в существующих процессах занимают далеко не первичную роль среди критериев выбора библиотеки. Исходя из проведенного опроса (рисунок 2), основную роль при принятии решения о включении библиотеки в код разработчики отдают функциональности и вопросам лицензирования:


Рисунок 2. Критерии при включении библиотеки в код.
Эти факторы говорят о необходимости внешнего контроля состояния подключенных пакетов.

«Для качественной оценки реальности рисков найденных уязвимостей современные решения предлагают не просто их количественный поиск, но и этичную эксплуатацию. Новейшие  автоматизированные решения поиска уязвимостей оценивают архитектуру и процессы систем защиты информации организаций, запуская реальные атаки на реальные активы, но без риска реального взлома. А механизмы автоматизации позволяют обеспечивать достаточную частоту процесса для оценки эффективности множества контролей ИБ на устойчивость перед новейшими угрозами», – рассказывает Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara.
Современный рынок ИБ предлагает два близких класса решений для выполнения этих задач:
  • Решения класса Breach and Attack Simulation (BAS)  реализуют имитацию кибератак и утечек данных безопасным для заказчика способом.
  • Решения Network Penetration Testing Tools непрерывно выявляют инфраструктурные уязвимости и выполняют их этичную эксплуатацию.

Рисунок 3. Сравнение функций Automated Penetration Testing и BAS.
Эксперты группы компаний Angara рекомендуют следующие решения данных классов:

  • Automated Penetration Testing: PCYSYS Cyber Resilience,
  • Breach and Attack Simulation: Cymulate BAS.
Alt text

Кибервзлом может привести к настоящей войне, ИБ-службы должны больше думать об угрозах жизням людей, не все руководители понимают опасность шпионов-инсайдеров в нашем 25 выпуске Youtube новостей.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group