Automated Penetration Testing и BAS: сравнение функций для оценки эффективности ИБ

В составе практически всех создаваемых сейчас приложений присутствуют компоненты Open Source. Эксперты ИБ-компании Veracode отметили, что 79% разработчиков не занимаются дальнейшим обновлением зависимых компонент после включения их в продукт, причем речь идет не только о мажорных, но и минорных обновлениях.

Этот вывод представлен в отчете State of Software Security v11: Open Source Edition («Состояние безопасности приложений») и основан на результатах более чем 13 миллионов сканирований 86 тысяч репозиториев. 

Эксперты составили подборку наиболее уязвимых из популярных библиотек за период 2019-2020 годы:


Рисунок 1. Наиболее уязвимые библиотеки в 2019-2020 годах.

Примечательно, что процесс выбора новой библиотеки формализован и выполняется не более чем в половине организаций, занимающихся разработкой. А вопросы безопасности в существующих процессах занимают далеко не первичную роль среди критериев выбора библиотеки. Исходя из проведенного опроса (рисунок 2), основную роль при принятии решения о включении библиотеки в код разработчики отдают функциональности и вопросам лицензирования:


Рисунок 2. Критерии при включении библиотеки в код.

Эти факторы говорят о необходимости внешнего контроля состояния подключенных пакетов. 

«Для качественной оценки реальности рисков найденных уязвимостей современные решения предлагают не просто их количественный поиск, но и этичную эксплуатацию. Новейшие  автоматизированные решения поиска уязвимостей оценивают архитектуру и процессы систем защиты информации организаций, запуская реальные атаки на реальные активы, но без риска реального взлома. А механизмы автоматизации позволяют обеспечивать достаточную частоту процесса для оценки эффективности множества контролей ИБ на устойчивость перед новейшими угрозами», – рассказывает Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara.

Современный рынок ИБ предлагает два близких класса решений для выполнения этих задач:

  • Решения класса Breach and Attack Simulation (BAS)  реализуют имитацию кибератак и утечек данных безопасным для заказчика способом.

  • Решения Network Penetration Testing Tools непрерывно выявляют инфраструктурные уязвимости и выполняют их этичную эксплуатацию.


Рисунок 3. Сравнение функций Automated Penetration Testing и BAS.

Эксперты группы компаний Angara рекомендуют следующие решения данных классов:

  • Automated Penetration Testing: PCYSYS Cyber Resilience,

Breach and Attack Simulation: Cymulate BAS.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах