Эффективная защита от угроз информационной безопасности возможна только при комплексном подходе. Одним из его ключевых элементов является своевременное обнаружение и устранение уязвимостей. Традиционно решение этих задач осуществляется двумя способами: с использованием специализированных средств для сканирования уязвимостей (так называемых сканеров безопасности) или посредством тестирования на проникновение (пентеста) с привлечением высококвалифицированных специалистов, которые могут взглянуть на систему защиты организации “глазами хакеров". Однако, помимо очевидных преимуществ, традиционные методы имеют и ряд ограничений.
Авторы: Валерий Филин, технический директор CITUM
Павел Стеблянко, генеральный директор CITUM
Виктор Сердюк, генеральный директор АО “ДиалогНаука"
Сканеры безопасности, например, обычно генерируют отчеты, насчитывающие сотни страниц с информацией о выявленных уязвимостях, среди которых практически невозможно выделить те, которые действительно представляют наибольшую опасность для организации. Услуги по тестированию на проникновение обычно занимают много времени и дорого стоят. При этом они дают заказчику "текущий срез", актуальный только в один момент времени.
Для устранения ограничений традиционных методов анализа защищенности на рынке информационной безопасности появился новый класс решений для автоматизации тестирования на проникновение. В этой статье мы детально раскроем описанные проблемы и расскажем о платформе автоматизации пентеста – Pcysys PenTera.
Вслед за тем как компании внедряют новые информационные системы, количество потенциальных уязвимостей, которым они подвержены, растет с экспоненциальной скоростью. Беглый взгляд на базу данных уязвимостей National Vulnerability Database1 показывает, что в последние годы произошел резкий всплеск их количества, особенно в приложениях с открытым исходным кодом. Публично доступные эксплойты для этих уязвимостей – лишь наиболее простые из инструментов хакера.
Приоритизация и закрытие уязвимостей для крупной компании может оказаться титанически сложной задачей. В организациях, где серьезно относятся к вопросам ИБ, обычно есть выделенная команда, специализирующаяся на выявлении и устранении уязвимостей, однако высоки шансы того, что сотрудники не успеют охватить их все. Установка патчей, как правило, приоритизирована: большинство организаций фокусируют внимание на устранении уязвимостей, имеющих наивысший теоретический уровень критичности. Даже если вы успеваете ликвидировать уязвимости с уровнем опасности "критичная" и "высокая", скорее всего вы отталкиваетесь от статистической шкалы CVSS (Common Vulnerability Scoring System2). Эта универсальная шкала по умолчанию не учитывает контекст вашей сети, приложений и массивов данных, поэтому оценка степени критичности статичных уязвимостей на основе CVSS, как правило, не является полностью релевантной для конкретного окружения и носит теоретический характер.
Нет сомнений, что обнаружение уязвимостей и установка патчей – жизненно необходимые задачи для сокращения поверхности атаки. Но даже после установки всех обновлений вы все еще можете быть взломаны.
Существует ряд значимых аспектов, которые остаются без внимания систем управления уязвимостями. К ним относятся так называемые динамические уязвимости, связанные с небезопасным пользовательским поведением, небезопасной конфигурацией инфраструктуры, ошибками в настройках внедренных средств защиты, нестойкими паролями и недостаточным контролем за привилегированным доступом.
Как правило, хакерская атака начинается через эксплуатацию динамических уязвимостей. Точкой входа в сеть может служить рабочая станция, куда злоумышленник успешно проникает, например, с использованием техник социальной инженерии. Попав внутрь сети, атакующий изучает и оценивает ее, выполняет горизонтальное продвижение, используя доступные средства для достижения конечной цели своей атаки.
Для борьбы с наиболее сложными целенаправленными атаками целесообразно прибегать к методу оценки эффективности применяемых средств защиты с позиции злоумышленника. Во время атаки необязательно использовать критические уязвимости, выявляемые сканерами. Терпеливо изучив сеть и средства защиты, злоумышленники могут прибегнуть к инструментам, специально разработанным для эксплуатации уязвимостей со средней или даже низкой критичностью по шкале CVSS.
Важно отметить, что возможности атакующих довольно обширны: наиболее известная отраслевая база знаний по техникам атак MITRE ATT&CK Matrix3 описывает сотни различных приемов, сгруппированные в 12 категорий.
Атакующие постоянно совершенствуют и развивают свои навыки и пополняют арсенал используемых средств. Как только становится известно о новых эффективных техниках реализации атак, они мгновенно получают распространение через "теневой Интернет" (Dark Web4) и специализированные хакерские сообщества.
Попытка защитить себя без понимания точки зрения злоумышленника – невероятно сложная задача. Традиционный подход к тестированию на проникновение дает вам статичный снимок того, как атакующий может взломать сеть в конкретный момент времени. В большинстве случаев пентест – это недостаточно регулярная процедура, выполняемая один или два раза в год. Современные сети меняются динамично, из-за чего результаты пентеста устаревают за считанные дни.
Ответить на этот вызов позволяет машинный пентест, который обходит названные ограничения и дает вам возможность круглосуточного наблюдения за состоянием защиты, предоставляя выводы и рекомендации, релевантные именно вашим информационным системам.
Преобразование пентеста в доступный ежедневный метод проверки позволяет защищающейся стороне первой узнавать об эксплуатируемых уязвимостях и исправлять их до того, как злоумышленник сможет найти и использовать их в атаке. Кроме того, автоматизированный пентест дает возможность сфокусироваться на исправлении именно тех уязвимостей, которые в реальной жизни могут эксплуатировать хакеры.
Злоумышленники уже давно автоматизируют свою деятельность и применяют для атак специализированные комплексные решения. Команды безопасности в организациях продолжают использовать классический набор отдельных инструментов для ручного тестирования защиты, который зачастую отстает от соответствующего инструментария хакеров. Таким образом, автоматизация пентеста дает возможность существенно упростить и повысить эффективность предотвращения атак.
Автоматизация пентестов дает службе ИБ множество уникальных преимуществ:
Большинство служб информационной безопасности сталкиваются с проблемами наличия бюджета и квалифицированных кадров. Именно поэтому для оптимизации затрат и повышения эффективности работы автоматизируются процессы кибербезопасности, включая оценку рисков, установку обновлений, обнаружение и предотвращение вторжений и др. В сфере автоматизации процессов тестирования на проникновение лидирует компания Pcysys.
Автоматизированный пентест дает глубокое понимание контекста слабых мест и уязвимостей в сети, а также позволяет оптимизировать процесс установки патчей. Вместо применения традиционного подхода к устранению уязвимостей на основе шкалы CVSS вы можете начать с исправления того, что действительно несет максимальный риск для вашей организации. После устранения наиболее критичных проблем можно немедленно запустить повторную проверку сценария атаки, чтобы убедиться в эффективности принятых мер. Таким образом, вы всегда остаетесь на шаг впереди атакующего.
Pcysys PenTera – это программная платформа, предназначенная для автоматизации пентеста. Простым нажатием кнопки вы сможете проверить, защищена ли ваша ИТ-инфраструктура, и выявить проблемы разной степени критичности, которые необходимо устранить для предотвращения потенциального взлома сети.
Эта система имеет целый ряд плюсов:
Технология Pcysys PenTera не привязана к какой-либо конкретной отрасли. Сеть – везде сеть, будь то в финансовой, производственной или другой организации. В числе заказчиков Pcysys есть банки, фонды, инвестиционные и страховые компании, телеком-операторы, ИТ-компании, юридические организации, ритейл, образовательные учреждения, организации из сферы здравоохранения и др.
Pcysys PenTera позволяет существенно повысить уровень защищенности компании за счет обеспечения непрерывной оценки текущего уровня безопасности с позиции реального злоумышленника. Система дополняет существующие средства защиты, такие как SIEM или решения по управлению привилегиями, и успешно интегрируется с ними.