ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ЯК ЕФЕКТИВНИЙ ІНСТРУМЕНТ МЕНЕДЖМЕНТУ КІБЕРБЕЗПЕКИ
DOI:
https://doi.org/10.32689/maup.it.2023.3.3Ключові слова:
кіберзахист, менеджмент кібербезпеки, контроль, алертність, тестування на проникненняАнотація
В статті розглянуто теоретичні аспекти розбудови та функціонування системи управління, спрямованої на захист комп’ютерних систем, мереж, даних, та інформації підприємства чи організації від кіберзагроз. В кінцевому рахунку вказана система має трансформуватися у менеджмент кібербезпеки. Останню категорію визначено як процес планування, розробки, впровадження та керування заходами, які спрямовані на захист комп’ютерних систем, мереж і даних від наявних та потенційних кіберзагроз. Виявлено, що основні функції класичного менеджменту, а саме, планування, організування, мотивування та контроль, відповідають і завданням менеджменту кібербезпеки. Серед конкретних інструментів які має використовувати менеджмент кібербезпеки виокремлено моніторинг подій, моніторинг мережі, інтрузійне виявлення, системи виявлення аномалій, етичний хакінг тощо. Зроблено висновок, що поряд з безпосередньо технічними питаннями, істотну частину проблем сучасного кібер-захисту підприємств та організацій спричиняє «людський фактор». Відтак однією з нагальних проблем у цій галузі, поряд із загальним підвищенням технічної грамотності та підготовленості персоналу, є підтримання високого рівня корпоративної пильності та алертності. З огляду на це, як один з ефективних інструментів підвищення рівня пильності та алертності персоналу, в статті пропонується використовувати процедуру тестування на проникнення у формі Cyber Red Team, при якій тестування виконується зовнішньою командою. Доведено, що тестування на проникнення сприяє розумінню з боки персоналу факту, що вторгнення може здійснюватися різними шляхами, а кіберризики є об’єктивною реальністю. В результаті запропоновано практичні рекомендації щодо проведення пентестів, які мають забезпечити збільшення ефективності та результативності менеджменту кібербезпеки на рівні окремих підприємств та організацій.
Посилання
У 2022 році кількість кібератак на Україну зросла майже втричі. 2023. URL: https://forbes.ua/news/v-2022-rotsi-kilkist-kiberatak-na-ukrainu-zrosla-mayzhe-vtrichi-90-khakerskikh-grup-z-rf-kontrolyuyutsiloviki-04052023-13454
Про основні засади забезпечення кібербезпеки України : закон України від 05.10.2017 р. № 2163-VIII / Верховна Рада України. 2017. URL: http://zakon3.rada.gov.ua/laws/show/2163-19
Сметанюк О.А., Бондарчук А. В. Особливості системи управління проєктами в it-компаніях. Агросвіт. 2020. № 10. С. 105–111.
Орлова О.М. Особливості управління персоналом в ІТ-сфері. URL: http://www.visnyk-econom.uzhnu.uz.ua/archive/11_2017ua/28.pdf
Barzashka I. Are Cyber-Weapons Effective? Assessing Stuxnet’s Impact on the Iranian Enrichment Programme. The RUSI Journal. Taylor & Francis. 2013. Vol. 158, № 2. P. 48–56.
Jaeger D., et al. Analysis of Publicly Leaked Credentials and the Long Story of Password. 2016. P. 1–19.
Wang C., et al. The Next Domino to Fall / Proceedings of the Eighth ACM Conference on Data and Application Security and Privacy. CODASPY18 The 8th ACM Conference on Data; Application Security; Privacy March 19 – 21. 2018. Tempe, AZ, USA. P. 196–203.
Tanni T., et al. Is My Password Strong Enough? : A Study on User Perception in The Developing World. EAI Endorsed Transactions on Creative Technologies. European Alliance for Innovation n.o. 2022. Vol. 9, № 30. P. 1–12.
Hitchcock K. Linux System Administration for the 2020s : The Modern Sysadmin Leaving Behind the Culture of Build and Maintain. Apress, 2022. P. 328.
Aston-Jones G. Brain structures and receptors involved in alertness. Sleep Medicine. Elsevier BV. 2005. Vol. 6. P. 3–7.
Caldwell J.A., Caldwell J.L., Schmidt R.M. Alertness management strategies for operational contexts URL: https://pubmed.ncbi.nlm.nih.gov/18359253/
Niu S.F., Chung M.H., Chen C.H., Hegney D., OBrien A., Chou K.R. The Effect of Shift Rotation on Employee Cortisol Profile, Sleep Quality, Fatigue, and Attention Level. Journal of Nursing Research. Ovid Technologies (Wolters Kluwer Health). 2011. Vol. 19. № 1. P. 68–81.
Oken B., et al. Vigilance state fluctuations and performance using braincomputer interface for communication. Brain-Computer Interfaces. Informa UK Limited. 2018. Vol. 5, № 4. P. 146–156.
Langner R., Eickhoff S. B. Sustaining attention to simple tasks: A meta-analytic review of the neural mechanisms of vigilant attention. Psychological Bulletin. – American Psychological Association (APA). 2013. Vol. 139, № 4. P. 870–900.
Zakaria M. N., et al. Review of Standardization for Penetration Testing Reports and Documents. 2019 6th International Conference on Research and Innovation in Information Systems (ICRIIS). 2019. P. 1–5.
Shebli H.M.Z.A., Beheshti B.D. A study on penetration testing process and tools. 2018 IEEE Long Island Systems, Applications and Technology Conference (LISAT). 2018. P. 1–7.