A vállalkozások fenyegetéskezelésére hatással vannak a globális trendek, a gazdasági lassulástól kezdve a kiberkockázatokkal kapcsolatos növekvő tudatosságig.
Hogyan befolyásolják a globális változások a biztonsági validációt és pentesztelést?
Ezt a kérdést igyekszik megválaszolni a Global Surveyz Research által készített, az Egyesült Államok, az Egyesült Királyság és Nyugat-Európa 300, legalább C-szintű pozícióban lévő, több mint 1000 alkalmazottat foglalkoztató vállalatánál dolgozó vezető visszajelzésén alapuló jelentés, amely átfogó képet fest a pentesztelés mai helyzetéről.
A legfontosabb megállapítások:
• A szervezetek még mindig nagy arányban tapasztalnak jogsértéseket.
• A pentesztelés már nem csak a jogszabályi megfelelésről szól.
• Az etikus hackercsapatot (Red Team) foglalkoztató vállalatok aránya egyre növekszik.
A gazdasági lassulás ellenére, amelyet a világjárvány, a globális ellátási hiány és az Ukrajnában zajló konfliktus okozott, a vállalatok nem lehetnek elégedettek a kiberbiztonsággal. A Check Point Research friss jelentése szerint a kibertámadás száma 2022-ben 38%-kal nőtt az előző évhez képest, és szervezetenként átlagosan heti 1168 támadást regisztráltak.
Az elmúlt két évben a szervezetek megdöbbentő 88%-a számolt be arról, hogy valamilyen kiberincidens történt náluk, és ez a tendencia továbbra sem mutatja a lassulás jeleit. Mivel a költségvetéseket mindenhol csökkentik, létfontosságú, hogy a kiberbiztonság továbbra is kiemelt prioritás maradjon.
A bizonytalanság ellenére a szervezetek 92%-a növeli IT-biztonsági költségvetését, 86%-a pedig a penetrációs tesztelési költségvetését. A kutatásban résztvevő vállalatok körülbelül egyharmada tervezi, hogy ezeket a költségvetéseket több mint 10%-kal növeli.
Úgy tűnik, hogy a biztonság kérdését komolyan veszik és elismerik azt az értéket, amelyet a CISO-k és a biztonsági szakértők nyújtanak.
A pentesting változó tájképe
Nem is olyan régen, ha megkérdeztünk egy biztonsági vezetőt, hogy mi volt a legfőbb oka a penetrációs tesztek elvégzésének, azt mondták, hogy a szabályozási megfelelés. Mára azonban a jogszabályok által vezérelt gyakorlatok helyett a biztonság által vezérelt gyakorlatok kerültek előtérbe. A biztonsági vezetők szerint a pentesting legfontosabb motivációi a következők:
• A biztonsági ellenőrzés és validáció szükségessége
• A kiberbiztosítási követelmények teljesítése
• Egy támadás potenciális kárának felmérése
A penetrációs tesztelést motiváló okoknak ilyen irányú változása egyértelműen jelzi a kiberbiztonsági ágazaton belüli növekvő érettséget és a támadói szempontok megértését. A biztonsági vezetők ma már beépítik a stratégiájukba a pentestinget.
A biztonsági vezetők sokféle kockázattal számolnak, de az egyik, ami miatt különösen aggódnak, az üzletmenet folytonosságának megszakadása.
A szoftverek és alkalmazások folyamatos frissítései mellett a pentesztelésre is gyakran kell sort keríteni a teljes biztonság érdekében.
Mégis, a válaszadók 45%-át riasztja az üzleti alkalmazások vagy a hálózat leállása a pentesztelés során. Ez megakadályozza őket abban, hogy növeljék a penetrációs tesztelések gyakoriságát. A pentesztelési gyakoriság növelésének másik akadálya a kézi pentesztelők hiánya.
A szervezetek többet szeretnének tesztelni, de nincsenek meg hozzá a szükséges eszközök.
Ezért fontos az automatizálás, amely végtelen számú forgatókönyv tesztelését teszi lehetővé anélkül, hogy a hálózatot veszélyeztetné.
Az automatikus pentesztelés előnyei
A pentesztelés iránti növekvő igény ellenére egyes szervezetek még mindig küzdenek a munka elvégzésével. A felmérés szerint a szervezeteknek mindössze 15%-a végez automatizált pentesztelést, miközben 39% manuális teszteket futtat, 42% pedig harmadik féltől származó szolgáltatást vesz igénybe. 18% egyáltalán nem futtat penteszteket.
A penetrációs tesztelés automatizálása segíthet áthidalni ezeket a hiányosságokat. Az automatizálás lehetővé teszi a folyamatos és hatékony tesztelést, mivel nem támaszkodik a kézi tesztelőkre, és gyorsan lefut, elkerülve az üzleti folyamatok megszakadását.
Jó hír, hogy 2023 végére várhatóan a biztonsági vezetők majdnem mindegyike rendelkezik majd házon belüli vörös csapattal. 67%-uk már most is rendelkezik ilyennel, 29%-uk pedig tervezi ezt. Ezek a csapatok segíthetnek a pentesting hatókörének és sebességének növelésében is.
A mélységi védekezés (Defense-in-Depth) problémái
A kiberbiztonság terén még mindig a mélységi védekezés a legelterjedtebb stratégia. A szervezetek 92%-a alkalmazza ezt a megközelítést.
A kibertámadások gyakorisága mégis azt mutatja, hogy ez a stratégia, illetve annak megvalósítási módja nem hatékony. Penteszteket például a legtöbb szervezet legjobb esetben is csak negyedévente egyszer végez. A szervezetek fele pedig évente csak egyszer vagy kétszer.
Ez azt jelenti, hogy a legtöbb szervezet nem teszteli eléggé a védelmét ahhoz, hogy megtudja, hogy a biztonsági stratégiája hatékony-e.
Forrás
The State of Pentesting 2023: Global Trends in Cybersecurity
Kapcsolódó tartalom
Pentera képzések a RelNet eLearning programban
justify
no-repeat;left top;;
auto