Fortra. Δοκιμές παρείσδυσης για κανονιστική συμμόρφωση

Την ώρα που η μετάβαση από τα έντυπα αντίγραφα στην ψηφιακή αποθήκευση επέτρεψε στους οργανισμούς να αυξήσουν την αποτελεσματικότητα τους με αμέτρητους τρόπους, οι κακόβουλοι παράγοντες και φορείς απειλών έχουν επίσης εξαπολύσει αμέτρητες επιθέσεις για να κλέψουν ιδιωτικές πληροφορίες και εταιρικά δεδομένα.

Προκειμένου να προστατεύσουν αυτά τα πολύτιμα δεδομένα, πολλοί βιομηχανικοί κλάδοι έχουν πλέον θεσπίσει κανονισμούς για την κυβερνοασφάλεια. Για παράδειγμα, ο Αμερικανικός νόμος Health Insurance Portability & Accountability Act (o HIPAA αποσκοπεί στην διαμόρφωση προτύπων ιδιωτικότητας αναφορικά με την προστασία των ιατρικών αρχείων και άλλων δεδομένων ασθενών) ισχύει για τα νοσοκομεία και τις υπηρεσίες υγειονομικής περίθαλψης, οι επιχειρήσεις κοινής ωφέλειας και οι διάφοροι οργανισμοί στον τομέα της ενέργειας θα πρέπει να ακολουθούν το πρότυπο NERC ενώ τα ιδρύματα τριτοβάθμιας εκπαίδευσης θα πρέπει να τηρούν την νομοθεσία Higher Education Opportunity Act (HEOA). Με τόσους πολλούς νέους ή διευρυμένους κανονισμούς -από τον νόμο SOX στον γενικό κανονισμό GDPR και έως την πιστοποίηση CMMC- οι ομάδες κυβερνοασφάλειας έχουν το πρόσθετο καθήκον να διατηρούν τον οργανισμό συμμορφούμενο με τους νόμους και τους κανονισμούς, συχνά χωρίς τη βοήθεια νέων εργαζομένων για να βοηθήσουν με την πρόσθετη εργασία.

Για παράδειγμα, πολλοί από αυτούς τους κανονισμούς είτε συνεπάγονται είτε απαιτούν συγκεκριμένες δοκιμές παρείσδυσης (penetration testing) ως έναν τρόπο αξιολόγησης της στάσης ασφαλείας ενός οργανισμού και της τήρησης των κανονισμών/νόμων και της συμμόρφωσης. Η απαίτηση 11.3 του Payment Card Industry Data Security Standard (Πρότυπο Ασφάλειας Δεδομένων της Βιομηχανίας Καρτών Πληρωμών ή PCI DSS είναι ένα υποχρεωτικό πρότυπο και αποτελείται από ένα σύνολο απαιτήσεων ασφαλείας, σύμφωνα με το οποίο οι επιχειρήσεις που επεξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα καρτών, δημιουργούν ένα ασφαλές περιβάλλον για τις συναλλαγές), για παράδειγμα, ορίζει ότι πρέπει να εφαρμοστεί ένα ολοκληρωμένο πρόγραμμα δοκιμών παρείσδυσης (Penetration Testing).

Δεν αποτελεί έκπληξη το γεγονός ότι, σύμφωνα με την έκθεση Pen Testing του 2020, το 67% των επαγγελματιών της κυβερνοασφάλειας που ερωτήθηκαν ανέφεραν ότι η συμμόρφωση ήταν ο κύριος λόγος που πραγματοποίησαν δοκιμές παρείσδυσης (pentesting). Γιατί η δοκιμή παρείσδυσης (πρόκειται για μία εξουσιοδοτημένη και προληπτική επιχείρηση παρείσδυσης στο δίκτυα και στα πληροφοριακά συστήματα ενός οργανισμού από εξειδικευμένους μηχανικούς που ενεργούν ως εισβολείς και κυβερνοεγκληματίες) αποτελεί βασικό στοιχείο των πρωτοβουλιών συμμόρφωσης και ποια είναι η καλύτερη στρατηγική για την ικανοποίηση αυτής της απαίτησης; 

Γιατί η δοκιμή παρείσδυσης είναι τόσο σημαντική για τη συμμόρφωση;

Με την παραβίαση της υποδομής ενός οργανισμού, οι δοκιμές παρείσδυσης μπορούν να υποδείξουν ακριβώς τον τρόπο που ένας εισβολέας θα μπορούσε να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα. Καθώς οι στρατηγικές επίθεσης αυξάνονται και εξελίσσονται, οι περιοδικές υποχρεωτικές δοκιμές παρείσδυσης διασφαλίζουν ότι οι οργανισμοί μπορούν να παραμείνουν ένα βήμα μπροστά από τους κυβερνοεγκληματίες εκθέτοντας και επιδιορθώνοντας αδυναμίες ασφαλείας προτού αξιοποιηθούν από τους απατεώνες. Επιπλέον, για τους ελεγκτές ασφαλείας, οι συγκεκριμένες δοκιμές μπορούν επίσης να επαληθεύσουν αν τα υπόλοιπα υποχρεωτικά μέτρα ασφαλείας βρίσκονται σε ισχύ και λειτουργούν υποδειγματικά.

Ικανοποίηση βασικών αναγκών συμμόρφωσης με εργαλεία δοκιμών παρείσδυσης 

Πολλοί, υποθέτουν εσφαλμένα ότι για να ικανοποιηθούν οι ανάγκες συμμόρφωσης, απαιτείται οι δοκιμές να πραγματοποιείται από τρίτο μέρος. Κάτι τέτοιο ωστόσο, δεν είναι απαραίτητο. Μάλιστα, το PCI DSS, το οποίο έχει μερικές από τις πιο σαφείς απαιτήσεις για τις δοκιμές παρείσδυσης, δεν δηλώνει ότι είναι απαραίτητες οι δοκιμές παρείσδυσης από τρίτους.

Ορισμένοι οργανισμοί διαπιστώνουν ότι πολλές πτυχές των δοκιμών συμμόρφωσης είναι απλές ή ακόμη και επαναλαμβανόμενες. Ένα εργαλείο δοκιμών παρείσδυσης όπως το Core Impact παρέχει ένα εύκολο για να ακολουθήσει κάποιος και ένα καθιερωμένο αυτοματοποιημένο πλαίσιο που μπορεί να υποστηρίξει όλους αυτούς τους τύπους δοκιμών, καθώς δεν απαιτεί εκτενή εμπειρία με τις δοκιμές παρείσδυσης.

Για παράδειγμα, μία από τις εξωτερικές δοκιμές που παρατίθεται στην Απαίτηση 11.3 του PCI DSS είναι οι δοκιμές παρείσδυσης σε επίπεδο διαδικτυακής εφαρμογής, οι οποίες απαιτούνται για τον εντοπισμό αδυναμιών όπως το SQL injection ή το cross-site scripting (XSS). Το αυτοματοποιημένο One-Step Web Apps Vulnerability Test του Core Impact εντοπίζει αυτές τις αδυναμίες, καθώς και άλλες, όπως η προβληματική αυθεντικοποίηση/έλεγχος ταυτότητας, ο προβληματικός έλεγχος πρόσβασης και οι εσφαλμένες διαμορφώσεις ασφαλείας. Επιπλέον, οι διαισθητικοί οδηγοί (wizards) και οι δυνατότητες αυτοματισμού του Core Impact βοηθούν τους ελεγκτές ασφαλείας να συλλέγουν πληροφορίες, να εκτελούν επιθέσεις, να κλιμακώνουν τα προνόμια και πολλά άλλα.

Ορισμένοι οργανισμοί βρίσκουν τις υπηρεσίες τρίτων ιδανικές για τον προσδιορισμό των αναγκών συμμόρφωσης και την απόκτηση στρατηγικής υποστήριξης στις πρώτες δοκιμές. Στη συνέχεια χρησιμοποιούν τα εργαλεία δοκιμών παρείσδυσης για να διατηρήσουν τη συμμόρφωση. Για παράδειγμα, το πρότυπο PCI DSS αναφέρει ότι τυχόν ευπάθειες που εντοπίστηκαν κατά τη διάρκεια μίας δοκιμής χρειάζεται να επιδιορθωθούν και ότι απαιτείται ακόμα μία δοκιμή παρείσδυσης για να επαληθευτεί ότι όλα τα ζητήματα που προέκυψαν στην πρώτη έχουν επιλυθεί. Ένας τρίτος μπορεί να πραγματοποιήσει την αρχική δοκιμή και στη συνέχεια, ένα μέλος της ομάδας ασφαλείας σας θα μπορούσε να προχωρήσει σε μία αυτοματοποιημένη δοκιμή για να επικυρώσει τις όποιες προσπάθειες αποκατάστασης. 

Εύρεση του κατάλληλου τρίτου για σύνθετες δοκιμές

Μπορείτε να χρησιμοποιήσετε ένα αυτοματοποιημένο εργαλείο για τις βασικές δοκιμές συμμόρφωσης και μία τρίτη, ανεξάρτητη υπηρεσία για πιο σύνθετες ανάγκες. Για παράδειγμα, το PCI DSS και τα περισσότερα άλλα κανονιστικά πρότυπα απαιτούν τη διεξαγωγή δοκιμών μετά από μια σημαντική αλλαγή στο περιβάλλον λειτουργίας. Η δοκιμή μπορεί να περιλαμβάνει πολλαπλές αλυσίδες επίθεσης ή άλλες εξελιγμένες τακτικές και τεχνικές για να διασφαλιστεί ότι οι αλλαγές στο λειτουργικό περιβάλλον δεν είχαν ως αποτέλεσμα την εμφάνιση νέων τρωτών σημείων και ευπαθειών.

Ωστόσο, αυτό απαιτεί από έναν οργανισμό να είναι περισσότερο επιλεκτικός όσον αφορά το τρίτο μέρος. Πολλές εταιρείες εστιάζουν στη διενέργεια απλών δοκιμών με ευρύ πεδίο δράσης -οι οποίες μπορούν να πραγματοποιηθούν από μία ομάδα ασφαλείας με ένα εργαλείο όπως το Core Impact. Είναι σημαντικό να βρείτε μια υπηρεσία με εξειδικευμένους μηχανικούς που έχουν τη δυνατότητα να προσαρμόζουν τις δοκιμές τους στις ιδιαίτερες ανάγκες και τους στόχους σας, ώστε να μπορείτε να αξιοποιήσετε στο έπακρο αυτή τη συνεργασία.

Το μέλλον των δοκιμών παρείσδυσης και της συμμόρφωσης

Καθώς περνάει ο καιρός, είναι πιθανό να τεθούν σε ισχύ περισσότεροι κανονισμοί -οι GDPR, CCPA και CMMC έχουν όλοι τους θεσπιστεί τα τελευταία τρία χρόνια. Με τόσες πολλές απαιτήσεις που πρέπει να πληροίτε, δεν είναι δύσκολο να αρχίσετε να βλέπετε τη συμμόρφωση ως «κουτάκια που πρέπει να τσεκάρετε». Αξιοποιώντας ωστόσο τους πόρους σας με σύνεση -απλοποιώντας τη διαδικασία με τον αυτοματισμό και χρησιμοποιώντας εξειδικευμένες υπηρεσίες για εξειδικευμένα, περισσότερο σύνθετα ζητήματα- μπορείτε να χρησιμοποιήσετε τις πρωτοβουλίες συμμόρφωσης ως μία ευκαιρία για να ωθήσετε τη στάση ασφαλείας σας στο επόμενο επίπεδο.

Δείτε τι μπορεί να κάνει το Core Impact

Αξιολογήστε και ελέγξτε τα τρωτά σημεία και τις ευπάθειες ασφάλειας σε ολόκληρο τον οργανισμό σας με το πιο ολοκληρωμένο λογισμικό δοκιμών παρείσδυσης.

ΛΑΒΕΤΕ ΤΗ ΔΟΚΙΜΑΣΤΙΚΗ ΕΚΔΟΣΗ 

ΛΑΒΕΤΕ ΤΟΝ ΟΔΗΓΟ 

Πηγή: Fortra