Контакты
Подписка 2024
Статьи по информационной безопасности

Взлом во благо: пентест и его место в ИБ-процессах

Антон Соловьев, 25/08/23

Организация и поддержка должного уровня ИБ требует комплексного подхода. Одна из его важнейших составляющих – “проверка боем”, или пентест, – тестирование надежности периметра защиты через попытку проникновения.

Автор: Антон Соловьев, руководитель направления Positive Technologies компании MONT

ris1-Aug-25-2023-09-27-53-1622-AM

Стартовый аудит с продолжением

Комплексный подход в отношении ИБ начинается с аудита, который включает в себя набор процессов, позволяющих получить объективную оценку уровня защищенности ИТ-ландшафта.

Считается, что по результатам аудита компания имеет на руках всю необходимую информацию для построения качественной системы ИБ, – это только теория. А как на практике проверить, что принятые меры были успешными? На помощь приходит пентест, создающий симуляцию действий злоумышленников для реализации недопустимых событий внутри ИТ-периметра предприятия.

Решение о проведении пентеста, как правило, лежит на руководителе компании либо на департаменте информационной безопасности.

Отдельно стоит отметить финансовую отрасль, где, согласно положению Банка России (683-п), все кредитные организации ежегодно должны проводить тестирование на проникновение в объекты инфраструктуры. Следуя положению 719-п, такое тестирование могут проводить только сторонние организации, имеющие соответствующую лицензию. Если обратиться к 21-му приказу ФСТЭК, операторы персональных данных обязаны проводить анализ защищенности информационных систем не реже одного раза в три года. Пентест – одна из стандартных процедур этого анализа.

Виды и цели

Проведение тестирования имеет две основные цели:

  • продемонстрировать уязвимости объекта тестирования;
  • повысить уровень защищенности.

Указать на уязвимости необходимо, когда требуется выделить бюджет на новые средства и найм новых сотрудников, чтобы скорректировать текущую линию защиты, сделав ее более эффективной.

Пентесты могут проводиться:

  1. В режиме "белого ящика" – когда исполнитель полностью владеет информацией об архитектуре, имеет доступ администратора и все необходимые привилегии. Данный метод дает полную информацию об объекте с точки зрения ИБ, но не дает оценки показателя взломостойкости.
  2. В режиме "черного ящика" – когда тестировщик не владеет никакой информацией. В данном случае исполнитель находится на одном уровне с потенциальным злоумышленником, что позволяет наиболее точно смоделировать ситуацию взлома из внешнего периметра.
  3. Промежуточный вариант – режим "серого ящика". В этом случае пентестер имеет непривилегированные права, но при этом находится внутри периметра. Это достаточно универсальный метод, позволяющий найти ошибки из-за неправильной структуры или неверно настроенных приложений.

Что тестируем?

На этом этапе необходимо определить объекты тестирования. И здесь первоочередным считается анализ сетевого периметра, когда пентестер пытается проникнуть внутрь компании и скомпрометировать данные.

У опытного исполнителя не будет проблем с этим этапом. В 85% случаев получение доступа происходит с помощью методов социальной инженерии.

Тестирование с использованием Shadow IT – это новое слово в области кибербезопасности. Оно подразумевает под собой объекты инфраструктуры, выпавшие из поля зрения администраторов. Например, в компании существовала IP-телефония, которая давно не использовалась, но при этом оставалась активной и включенной в сеть. Все уже давно забыли о ней, кроме злоумышленника, которому удалось получить доступ в систему компании через уязвимости.

Внутренний пентест симулирует действия злоумышленника внутри инфраструктурного объекта. В этом случае перед тестировщиком ставят определенную цель, например завладеть информацией или внести определенные изменения в финансовые программы.

Большой популярностью пользуется тест веб-приложений. Если ранее сайты в Интернете представляли собой статичные страницы, то сейчас это полноценные приложения, через которые можно получить доступ в компанию: к базе клиентов, к персональным и платежным данным.

В текущем году был отмечен рост количества атак на веб-приложения – с 17 до 22%, относительно общего числа атак. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло более чем в два раза.

Тестирование одного сайта занимает гораздо больше времени, чем аналогичные действия по другим направлениям, особенно если используется большое количество интерактивных элементов. При тестировании проверяется не только техническая составляющая, но и работа самой логики приложений. Зачастую можно получить доступ к служебной информации, воспользоваться дополнительными скидками и провести другие манипуляции, лишь слегка модифицировав запрос к серверу.

Например, был случай, когда в веб-приложении одного из банков удалось найти уязвимость, которая позволяла переводить другим клиентам отрицательные суммы, тем самым пополняя свой счет. К счастью, это быстро заметили и устранили.

Интересным вариантом пентеста является тестирование Wi-Fi-сетей. Как правило, его относят к внутреннему пентесту, но правильнее было бы выделить это направление работы в отдельный сегмент.

Ошибочно считается, что раз сеть работает только внутри офиса, то злоумышленник не сможет получить к ней доступ. Однако на рынке есть недорогие направленные антенны, которые позволяют дотянуться до сети с расстояния нескольких сотен метров.

Многие компании используют достаточно оригинальный подход, когда около офиса разворачивается ложная сеть с именем (SSID), полностью совпадающим с оригинальной. Телефоны проходящих мимо сотрудников пытаются подключиться к ней и тем самым отправляют учетные данные потенциальному злоумышленнику.

Отдельно стоит учесть тестирование на стойкость к DDoS-атакам. В сегменте розничных продаж атаки данного типа идут практически непрерывно, что повышает интерес к этому виду тестирования. Запуская такой тест, важно понимать, что санкционированная успешная атака может нарушить работу веб-приложения и привести к потере прибыли.

Поэтому лучше проводить ее на тестовом контуре либо в то время, когда посетителей практически нет.

Рынок и выбор

На текущий момент на рынке РФ представлено большое количество компаний, предоставляющих услуги по тестированию на проникновение. Согласно опросам, около 36% организаций выбирают компанию для пентеста на основании портфолио и примеров аналогичных работ для заказчиков из смежных отраслей.

При выборе исполнителя необходимо проанализировать множество факторов. В первую очередь стоит посмотреть на экспертизу компании в сегменте информационной безопасности, обратить внимание на то, как давно организация присутствует на рынке и какие продукты собственной разработки представлены в ее портфеле.

Хорошим знаком будет наличие аккредитации CREST, выдаваемой международным сообществом тестировщиков безопасности. Наличие сертификата подтверждает, что компания обладает высочайшими знаниями по кибербезопасности, а также навыками проведения тестирования по международным стандартам.

У каждого исполнителя есть набор услуг, на которых он специализируется. Например, классический пентест, или Red Teaming, есть практически у всех. А вот тестирование объектов АСУ ТП придется поискать. Хорошо бы узнать, каков уровень защищенности внутри самой компании, чтобы результаты пентестов не утекли в руки злоумышленников.

Обязательно стоит попросить потенциального подрядчика поделиться успешными кейсами, чтобы детально проанализировать подход исполнителя к тестированию.

Процесс и организация

Как выглядит алгоритм подготовки к пентесту после выбора цели и исполнителя?

Начинается все с оформления NDA. Это обязательное условие, поскольку данные о пентестах, особенно крупных компаний, весьма хорошо ценятся на черном рынке.

Для чистоты тестирования лучше всего оборудование и ПО оставить "как есть". Следует обеспечить максимально естественную рабочую конфигурацию, которая не нарушает процессы в компании. В ряде случаев невозможно проводить тестирование на "боевой" системе, поскольку это может нарушить критически важные процессы внутри компании. Тогда выделяется отдельная тестовая среда с идентичными характеристиками.

Перед проведением пентеста необходимо понять, готова ли организация выделить бюджет и ресурсы для проведения после пентеста мероприятий с целью повышения эффективности защищенности компаний, потому что получить отчет о результатах и убрать их в ящик – путь в никуда.

Многое зависит от выбранной стратегии тестирования. В режиме "белого ящика" у исполнителя есть вся необходимая информация, которую предоставляет тестируемая организация. Это значит, что как минимум ИБ-служба в курсе происходящего.

Возможен вариант пентеста в режиме red team vs blue team. В этом случае "синяя" команда пытается предотвратить вторжение и обнаружить злоумышленника, при этом зная время и примерное направление атаки, чтобы иметь возможность подготовиться. Наиболее чистым вариантом тестирования (когда основной задачей является определение самого факта проникновения и возможных направлений атак) считается Red Teaming, при котором служба безопасности не знает о возможном вторжении.

Условия успеха

Необходимо четкое понимание того, что мы хотим тестировать. В идеале нужно делать пентест по всем направлениям, но стоит учитывать, что это дорого стоит и требует немало времени.

Нельзя игнорировать внутреннего заказчика теста: если руководителю организации первостепенна сама возможность проникновения, то департаменту информационной безопасности нужна более детальная информация (как быстро злоумышленник может реализовать недопустимое событие, какие уязвимости использовал, какие инструменты задействовал, к какой информации был получен доступ).

Бывают случаи, когда отчет прежде всего нужен сотрудникам департамента информационных технологий и в нем необходимо отразить, какое ПО в зоне риска, а также как это можно исправить, не нарушая функционирование всех процессов.

Вне зависимости от задач пентеста необходимо понимать, что процедура тестирования на проникновение ни при каких условиях не может на 100% воссоздать атаку реального злоумышленника.

Действия пентестера ограничиваются Уголовным кодексом, он не может атаковать личные телефоны, ноутбуки, не может применять угрозы и шантаж при социальной инженерии.

Как показывает практика, злоумышленник в среднем находится около четырех дней внутри периметра, прежде чем реализовать недопустимое событие. А значит, используя современные средства, SOC-команда должна успеть обнаружить атаку и провести действия для ее предотвращения. Это позволяет оценить компетентность службы ИБ. Согласно статистике компании Positive Technologies, хакеру в 96% случаев удается проникнуть внутрь периметра организации, а в 89% случаев удается реализовать недопустимое событие с разной степенью ущерба. Пентест с большой долей вероятности покажет слабые места, которые будут требовать немедленной корректировки.

 
Темы:ПентестЖурнал "Информационная безопасность" №4, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Карьера пентестера: с чего начинать
    Андрей Горшков, специалист команды анализа защищенности Angara Security
    Тем, кто выбирает эту профессию, следует иметь в виду, что она требует постоянного развития и умения пользоваться библиотекой ресурсов для самообразования.
  • Автоматизация пентеста: на шаг впереди хакера
    Виктор Сердюк, Генеральный директор АО “ДиалогНаука”
    Традиционный подход к пентесту дает лишь статичный снимок того, как атакующий может взломать сеть в конкретный момент времени.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"