Взлом во благо: пентест и его место в ИБ-процессах
Антон Соловьев, 25/08/23
Организация и поддержка должного уровня ИБ требует комплексного подхода. Одна из его важнейших составляющих – “проверка боем”, или пентест, – тестирование надежности периметра защиты через попытку проникновения.
Автор: Антон Соловьев, руководитель направления Positive Technologies компании MONT
Стартовый аудит с продолжением
Комплексный подход в отношении ИБ начинается с аудита, который включает в себя набор процессов, позволяющих получить объективную оценку уровня защищенности ИТ-ландшафта.
Считается, что по результатам аудита компания имеет на руках всю необходимую информацию для построения качественной системы ИБ, – это только теория. А как на практике проверить, что принятые меры были успешными? На помощь приходит пентест, создающий симуляцию действий злоумышленников для реализации недопустимых событий внутри ИТ-периметра предприятия.
Решение о проведении пентеста, как правило, лежит на руководителе компании либо на департаменте информационной безопасности.
Отдельно стоит отметить финансовую отрасль, где, согласно положению Банка России (683-п), все кредитные организации ежегодно должны проводить тестирование на проникновение в объекты инфраструктуры. Следуя положению 719-п, такое тестирование могут проводить только сторонние организации, имеющие соответствующую лицензию. Если обратиться к 21-му приказу ФСТЭК, операторы персональных данных обязаны проводить анализ защищенности информационных систем не реже одного раза в три года. Пентест – одна из стандартных процедур этого анализа.
Виды и цели
Проведение тестирования имеет две основные цели:
- продемонстрировать уязвимости объекта тестирования;
- повысить уровень защищенности.
Указать на уязвимости необходимо, когда требуется выделить бюджет на новые средства и найм новых сотрудников, чтобы скорректировать текущую линию защиты, сделав ее более эффективной.
Пентесты могут проводиться:
- В режиме "белого ящика" – когда исполнитель полностью владеет информацией об архитектуре, имеет доступ администратора и все необходимые привилегии. Данный метод дает полную информацию об объекте с точки зрения ИБ, но не дает оценки показателя взломостойкости.
- В режиме "черного ящика" – когда тестировщик не владеет никакой информацией. В данном случае исполнитель находится на одном уровне с потенциальным злоумышленником, что позволяет наиболее точно смоделировать ситуацию взлома из внешнего периметра.
- Промежуточный вариант – режим "серого ящика". В этом случае пентестер имеет непривилегированные права, но при этом находится внутри периметра. Это достаточно универсальный метод, позволяющий найти ошибки из-за неправильной структуры или неверно настроенных приложений.
Что тестируем?
На этом этапе необходимо определить объекты тестирования. И здесь первоочередным считается анализ сетевого периметра, когда пентестер пытается проникнуть внутрь компании и скомпрометировать данные.
У опытного исполнителя не будет проблем с этим этапом. В 85% случаев получение доступа происходит с помощью методов социальной инженерии.
Тестирование с использованием Shadow IT – это новое слово в области кибербезопасности. Оно подразумевает под собой объекты инфраструктуры, выпавшие из поля зрения администраторов. Например, в компании существовала IP-телефония, которая давно не использовалась, но при этом оставалась активной и включенной в сеть. Все уже давно забыли о ней, кроме злоумышленника, которому удалось получить доступ в систему компании через уязвимости.
Внутренний пентест симулирует действия злоумышленника внутри инфраструктурного объекта. В этом случае перед тестировщиком ставят определенную цель, например завладеть информацией или внести определенные изменения в финансовые программы.
Большой популярностью пользуется тест веб-приложений. Если ранее сайты в Интернете представляли собой статичные страницы, то сейчас это полноценные приложения, через которые можно получить доступ в компанию: к базе клиентов, к персональным и платежным данным.
В текущем году был отмечен рост количества атак на веб-приложения – с 17 до 22%, относительно общего числа атак. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло более чем в два раза.
Тестирование одного сайта занимает гораздо больше времени, чем аналогичные действия по другим направлениям, особенно если используется большое количество интерактивных элементов. При тестировании проверяется не только техническая составляющая, но и работа самой логики приложений. Зачастую можно получить доступ к служебной информации, воспользоваться дополнительными скидками и провести другие манипуляции, лишь слегка модифицировав запрос к серверу.
Например, был случай, когда в веб-приложении одного из банков удалось найти уязвимость, которая позволяла переводить другим клиентам отрицательные суммы, тем самым пополняя свой счет. К счастью, это быстро заметили и устранили.
Интересным вариантом пентеста является тестирование Wi-Fi-сетей. Как правило, его относят к внутреннему пентесту, но правильнее было бы выделить это направление работы в отдельный сегмент.
Ошибочно считается, что раз сеть работает только внутри офиса, то злоумышленник не сможет получить к ней доступ. Однако на рынке есть недорогие направленные антенны, которые позволяют дотянуться до сети с расстояния нескольких сотен метров.
Многие компании используют достаточно оригинальный подход, когда около офиса разворачивается ложная сеть с именем (SSID), полностью совпадающим с оригинальной. Телефоны проходящих мимо сотрудников пытаются подключиться к ней и тем самым отправляют учетные данные потенциальному злоумышленнику.
Отдельно стоит учесть тестирование на стойкость к DDoS-атакам. В сегменте розничных продаж атаки данного типа идут практически непрерывно, что повышает интерес к этому виду тестирования. Запуская такой тест, важно понимать, что санкционированная успешная атака может нарушить работу веб-приложения и привести к потере прибыли.
Поэтому лучше проводить ее на тестовом контуре либо в то время, когда посетителей практически нет.
Рынок и выбор
На текущий момент на рынке РФ представлено большое количество компаний, предоставляющих услуги по тестированию на проникновение. Согласно опросам, около 36% организаций выбирают компанию для пентеста на основании портфолио и примеров аналогичных работ для заказчиков из смежных отраслей.
При выборе исполнителя необходимо проанализировать множество факторов. В первую очередь стоит посмотреть на экспертизу компании в сегменте информационной безопасности, обратить внимание на то, как давно организация присутствует на рынке и какие продукты собственной разработки представлены в ее портфеле.
Хорошим знаком будет наличие аккредитации CREST, выдаваемой международным сообществом тестировщиков безопасности. Наличие сертификата подтверждает, что компания обладает высочайшими знаниями по кибербезопасности, а также навыками проведения тестирования по международным стандартам.
У каждого исполнителя есть набор услуг, на которых он специализируется. Например, классический пентест, или Red Teaming, есть практически у всех. А вот тестирование объектов АСУ ТП придется поискать. Хорошо бы узнать, каков уровень защищенности внутри самой компании, чтобы результаты пентестов не утекли в руки злоумышленников.
Обязательно стоит попросить потенциального подрядчика поделиться успешными кейсами, чтобы детально проанализировать подход исполнителя к тестированию.
Процесс и организация
Как выглядит алгоритм подготовки к пентесту после выбора цели и исполнителя?
Начинается все с оформления NDA. Это обязательное условие, поскольку данные о пентестах, особенно крупных компаний, весьма хорошо ценятся на черном рынке.
Для чистоты тестирования лучше всего оборудование и ПО оставить "как есть". Следует обеспечить максимально естественную рабочую конфигурацию, которая не нарушает процессы в компании. В ряде случаев невозможно проводить тестирование на "боевой" системе, поскольку это может нарушить критически важные процессы внутри компании. Тогда выделяется отдельная тестовая среда с идентичными характеристиками.
Перед проведением пентеста необходимо понять, готова ли организация выделить бюджет и ресурсы для проведения после пентеста мероприятий с целью повышения эффективности защищенности компаний, потому что получить отчет о результатах и убрать их в ящик – путь в никуда.
Многое зависит от выбранной стратегии тестирования. В режиме "белого ящика" у исполнителя есть вся необходимая информация, которую предоставляет тестируемая организация. Это значит, что как минимум ИБ-служба в курсе происходящего.
Возможен вариант пентеста в режиме red team vs blue team. В этом случае "синяя" команда пытается предотвратить вторжение и обнаружить злоумышленника, при этом зная время и примерное направление атаки, чтобы иметь возможность подготовиться. Наиболее чистым вариантом тестирования (когда основной задачей является определение самого факта проникновения и возможных направлений атак) считается Red Teaming, при котором служба безопасности не знает о возможном вторжении.
Условия успеха
Необходимо четкое понимание того, что мы хотим тестировать. В идеале нужно делать пентест по всем направлениям, но стоит учитывать, что это дорого стоит и требует немало времени.
Нельзя игнорировать внутреннего заказчика теста: если руководителю организации первостепенна сама возможность проникновения, то департаменту информационной безопасности нужна более детальная информация (как быстро злоумышленник может реализовать недопустимое событие, какие уязвимости использовал, какие инструменты задействовал, к какой информации был получен доступ).
Бывают случаи, когда отчет прежде всего нужен сотрудникам департамента информационных технологий и в нем необходимо отразить, какое ПО в зоне риска, а также как это можно исправить, не нарушая функционирование всех процессов.
Вне зависимости от задач пентеста необходимо понимать, что процедура тестирования на проникновение ни при каких условиях не может на 100% воссоздать атаку реального злоумышленника.
Действия пентестера ограничиваются Уголовным кодексом, он не может атаковать личные телефоны, ноутбуки, не может применять угрозы и шантаж при социальной инженерии.
Как показывает практика, злоумышленник в среднем находится около четырех дней внутри периметра, прежде чем реализовать недопустимое событие. А значит, используя современные средства, SOC-команда должна успеть обнаружить атаку и провести действия для ее предотвращения. Это позволяет оценить компетентность службы ИБ. Согласно статистике компании Positive Technologies, хакеру в 96% случаев удается проникнуть внутрь периметра организации, а в 89% случаев удается реализовать недопустимое событие с разной степенью ущерба. Пентест с большой долей вероятности покажет слабые места, которые будут требовать немедленной корректировки.