Test di penetrazione vs Scansione automatizzata - Un argomento che viene alla luce abbastanza spesso.
A volte considerato uguale tra le aziende che cercano di migliorare la propria sicurezza, non potrebbe essere più lontano dalla verità.
Molte persone credono che una scansione automatica delle proprie risorse sia sufficiente per spuntare le caselle sui framework. Quadri come ISO27001, PCI-DSS e HIPAA separano i due in categorie distinte.
Questi framework segmentano sia i test di penetrazione che la scansione automatica in modo che entrambi debbano spuntare le caselle.
La scansione automatizzata delle applicazioni di rete e web offre all'utente una comprensione delle vulnerabilità a cui è esposto.
Un test di penetrazione, invece, viene effettuato da un individuo qualificato. Di solito da un team esterno, cercano vulnerabilità e punti deboli che gli strumenti di scansione automatizzati non possono rilevare.
Un tester di penetrazione può utilizzare pezzi di software nel loro lavoro quotidiano come Metasplot. Non deve essere confuso con l'esecuzione di un test di penetrazione automatizzato.
Il giorno dei servizi di sicurezza esternalizzati
Vediamo molte aziende spuntare in questo momento che offrono servizi di test di penetrazione. Devi stare attento con chi stai permettendo di fare questo lavoro.
Ci sono state segnalazioni di penetration tester che eseguono solo scansioni automatiche su infrastrutture e applicazioni web. Producono un rapporto automatico mentre affermano di aver condotto un test di penetrazione completo.
Un test di penetrazione dovrebbe comportare l'esame delle debolezze dell'ingegneria sociale e delle debolezze nella logica aziendale che gli scanner automatici non possono rilevare. Inoltre, cercano vulnerabilità zero-day che non rientrano nell'ambito degli scanner automatici.
Quindi, se un test di penetrazione fa più di una scansione automatica, perché non stiamo usando solo tester di penetrazione?
Il test di penetrazione è complementare alla scansione automatica.
Gli scanner possono rilevare le vulnerabilità a un ritmo molto più rapido rispetto a un test di penetrazione manuale. Guarda cose diverse da quelle che guarderebbe un penetration tester.
Il test di penetrazione non è un processo automatizzato, ma piuttosto un esercizio che richiede tempo e che non può essere eseguito 24 ore su 7, XNUMX giorni su XNUMX. Considerando che uno scanner può essere lasciato in esecuzione continuamente e cercare vulnerabilità.
La penetrazione è in genere un esercizio costoso che viene eseguito ad hoc.
Qual è il vantaggio della scansione automatica?
La scansione automatica è esattamente ciò che dice sulla scatola. È un processo automatizzato che non è ad alta intensità umana che viene eseguito in background mentre continui con il tuo lavoro.
Gli scanner rilevano la struttura delle reti e delle applicazioni Web mentre mappano dove si trovano le vulnerabilità.
Questo processo è a volte indicato come test di penetrazione automatizzato e dovrebbe essere la base di qualsiasi organizzazione che cerchi di proteggere le proprie risorse.
Il primo passo nella scansione automatica è darci un'immagine del nostro superficie di attacco.
L'ambito degli scanner di vulnerabilità dipende dallo strumento che stai utilizzando. In realtà, dovresti utilizzare uno strumento che rileva le vulnerabilità da vari segmenti dell'organizzazione.
Dovremmo eseguire una scansione continua delle applicazioni Web e delle reti e anche esaminare la configurazione errata di nuvola servizi.
Un buon strumento fornirà anche una qualche forma di gestione delle vulnerabilità in modo da poter confermare ciò che è stato risolto.
È inoltre necessario comprendere il punteggio di rischio delle vulnerabilità rilevate insieme all'impatto in caso di sfruttamento.
Quanto spesso dovremmo fare le nostre scansioni?
Non ci sono linee guida stabilite negli standard, tranne per il fatto che è un requisito per eseguire scansioni periodiche per le vulnerabilità sulle risorse web e sull'infrastruttura di rete.
Esistono due segmenti per il test delle vulnerabilità, uno è manuale e l'altro automatizzato.
Abbiamo conosciuto persone che acquistano scanner solo per sottoporsi a una scansione una volta all'anno per conformarsi.
Tuttavia, se desideri mantenere la sicurezza, ti consigliamo di eseguire una scansione continua delle risorse di rete e Web per assicurarti di essere completamente aggiornato sullo stato della tua posizione di sicurezza.
Integrazione delle scansioni di vulnerabilità nei tuoi flussi di lavoro
Il modo più semplice per monitorare continuamente le vulnerabilità è automatizzare veramente il processo integrandolo nei tuoi flussi di lavoro.
Per le applicazioni Web, ciò significa integrare lo scanner nell'ambiente CI/CD e attivare le scansioni in determinate fasi della pipeline.
Dopo ogni modifica del codice, quando il codice viene inserito in produzione, dovrebbe essere attivata una scansione.
I buoni strumenti lo faranno in background e invieranno notifiche via e-mail alla persona responsabile senza che questi sappia nemmeno che lo strumento è lì.
Non appena le vulnerabilità vengono risolte, dovrebbe eseguire una nuova scansione per confermare la correzione ed emettere un nuovo rapporto.
Il codice non deve essere inviato alla produzione fino a quando tutte le vulnerabilità non sono state risolte o contrassegnate come ignorate o false positive all'interno dello strumento.
Scansione in rete dovrebbe essere incorporato nei tuoi flussi di lavoro e avere un elemento continuo in modo da avere una comprensione completa del quadro della tua posizione di sicurezza.
Usando 3rd parti per monitorare le vulnerabilità
Molte aziende non hanno le competenze per eseguire la propria gestione e valutazione delle vulnerabilità e quindi esternalizzarle a società terze come MSP e MSSP.
Gli MSP possono svolgere la parte di monitoraggio e produrre report ad hoc per farti capire quanto sei sicuro.
Gli MSSP spesso forniscono servizi di test di penetrazione oltre alla scansione automatica, che è più costosa rispetto a una scansione automatica.
Se sei preoccupato per la tua posizione di sicurezza e non ritieni di avere le competenze per rimediare a questo, possiamo metterti in contatto con uno dei nostri MSP che utilizzano Resilient X per gestire la posizione di sicurezza dei propri clienti.
