Контакты
Подписка 2024

Взлом во благо: пентест и его место в ИБ-процессах

Антон Соловьев, 25/08/23

Организация и поддержка должного уровня ИБ требует комплексного подхода. Одна из его важнейших составляющих – “проверка боем”, или пентест, – тестирование надежности периметра защиты через попытку проникновения.

Автор: Антон Соловьев, руководитель направления Positive Technologies компании MONT

ris1-Aug-25-2023-09-27-53-1622-AM

Стартовый аудит с продолжением

Комплексный подход в отношении ИБ начинается с аудита, который включает в себя набор процессов, позволяющих получить объективную оценку уровня защищенности ИТ-ландшафта.

Считается, что по результатам аудита компания имеет на руках всю необходимую информацию для построения качественной системы ИБ, – это только теория. А как на практике проверить, что принятые меры были успешными? На помощь приходит пентест, создающий симуляцию действий злоумышленников для реализации недопустимых событий внутри ИТ-периметра предприятия.

Решение о проведении пентеста, как правило, лежит на руководителе компании либо на департаменте информационной безопасности.

Отдельно стоит отметить финансовую отрасль, где, согласно положению Банка России (683-п), все кредитные организации ежегодно должны проводить тестирование на проникновение в объекты инфраструктуры. Следуя положению 719-п, такое тестирование могут проводить только сторонние организации, имеющие соответствующую лицензию. Если обратиться к 21-му приказу ФСТЭК, операторы персональных данных обязаны проводить анализ защищенности информационных систем не реже одного раза в три года. Пентест – одна из стандартных процедур этого анализа.

Виды и цели

Проведение тестирования имеет две основные цели:

  • продемонстрировать уязвимости объекта тестирования;
  • повысить уровень защищенности.

Указать на уязвимости необходимо, когда требуется выделить бюджет на новые средства и найм новых сотрудников, чтобы скорректировать текущую линию защиты, сделав ее более эффективной.

Пентесты могут проводиться:

  1. В режиме "белого ящика" – когда исполнитель полностью владеет информацией об архитектуре, имеет доступ администратора и все необходимые привилегии. Данный метод дает полную информацию об объекте с точки зрения ИБ, но не дает оценки показателя взломостойкости.
  2. В режиме "черного ящика" – когда тестировщик не владеет никакой информацией. В данном случае исполнитель находится на одном уровне с потенциальным злоумышленником, что позволяет наиболее точно смоделировать ситуацию взлома из внешнего периметра.
  3. Промежуточный вариант – режим "серого ящика". В этом случае пентестер имеет непривилегированные права, но при этом находится внутри периметра. Это достаточно универсальный метод, позволяющий найти ошибки из-за неправильной структуры или неверно настроенных приложений.

Что тестируем?

На этом этапе необходимо определить объекты тестирования. И здесь первоочередным считается анализ сетевого периметра, когда пентестер пытается проникнуть внутрь компании и скомпрометировать данные.

У опытного исполнителя не будет проблем с этим этапом. В 85% случаев получение доступа происходит с помощью методов социальной инженерии.

Тестирование с использованием Shadow IT – это новое слово в области кибербезопасности. Оно подразумевает под собой объекты инфраструктуры, выпавшие из поля зрения администраторов. Например, в компании существовала IP-телефония, которая давно не использовалась, но при этом оставалась активной и включенной в сеть. Все уже давно забыли о ней, кроме злоумышленника, которому удалось получить доступ в систему компании через уязвимости.

Внутренний пентест симулирует действия злоумышленника внутри инфраструктурного объекта. В этом случае перед тестировщиком ставят определенную цель, например завладеть информацией или внести определенные изменения в финансовые программы.

Большой популярностью пользуется тест веб-приложений. Если ранее сайты в Интернете представляли собой статичные страницы, то сейчас это полноценные приложения, через которые можно получить доступ в компанию: к базе клиентов, к персональным и платежным данным.

В текущем году был отмечен рост количества атак на веб-приложения – с 17 до 22%, относительно общего числа атак. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло более чем в два раза.

Тестирование одного сайта занимает гораздо больше времени, чем аналогичные действия по другим направлениям, особенно если используется большое количество интерактивных элементов. При тестировании проверяется не только техническая составляющая, но и работа самой логики приложений. Зачастую можно получить доступ к служебной информации, воспользоваться дополнительными скидками и провести другие манипуляции, лишь слегка модифицировав запрос к серверу.

Например, был случай, когда в веб-приложении одного из банков удалось найти уязвимость, которая позволяла переводить другим клиентам отрицательные суммы, тем самым пополняя свой счет. К счастью, это быстро заметили и устранили.

Интересным вариантом пентеста является тестирование Wi-Fi-сетей. Как правило, его относят к внутреннему пентесту, но правильнее было бы выделить это направление работы в отдельный сегмент.

Ошибочно считается, что раз сеть работает только внутри офиса, то злоумышленник не сможет получить к ней доступ. Однако на рынке есть недорогие направленные антенны, которые позволяют дотянуться до сети с расстояния нескольких сотен метров.

Многие компании используют достаточно оригинальный подход, когда около офиса разворачивается ложная сеть с именем (SSID), полностью совпадающим с оригинальной. Телефоны проходящих мимо сотрудников пытаются подключиться к ней и тем самым отправляют учетные данные потенциальному злоумышленнику.

Отдельно стоит учесть тестирование на стойкость к DDoS-атакам. В сегменте розничных продаж атаки данного типа идут практически непрерывно, что повышает интерес к этому виду тестирования. Запуская такой тест, важно понимать, что санкционированная успешная атака может нарушить работу веб-приложения и привести к потере прибыли.

Поэтому лучше проводить ее на тестовом контуре либо в то время, когда посетителей практически нет.

Рынок и выбор

На текущий момент на рынке РФ представлено большое количество компаний, предоставляющих услуги по тестированию на проникновение. Согласно опросам, около 36% организаций выбирают компанию для пентеста на основании портфолио и примеров аналогичных работ для заказчиков из смежных отраслей.

При выборе исполнителя необходимо проанализировать множество факторов. В первую очередь стоит посмотреть на экспертизу компании в сегменте информационной безопасности, обратить внимание на то, как давно организация присутствует на рынке и какие продукты собственной разработки представлены в ее портфеле.

Хорошим знаком будет наличие аккредитации CREST, выдаваемой международным сообществом тестировщиков безопасности. Наличие сертификата подтверждает, что компания обладает высочайшими знаниями по кибербезопасности, а также навыками проведения тестирования по международным стандартам.

У каждого исполнителя есть набор услуг, на которых он специализируется. Например, классический пентест, или Red Teaming, есть практически у всех. А вот тестирование объектов АСУ ТП придется поискать. Хорошо бы узнать, каков уровень защищенности внутри самой компании, чтобы результаты пентестов не утекли в руки злоумышленников.

Обязательно стоит попросить потенциального подрядчика поделиться успешными кейсами, чтобы детально проанализировать подход исполнителя к тестированию.

Процесс и организация

Как выглядит алгоритм подготовки к пентесту после выбора цели и исполнителя?

Начинается все с оформления NDA. Это обязательное условие, поскольку данные о пентестах, особенно крупных компаний, весьма хорошо ценятся на черном рынке.

Для чистоты тестирования лучше всего оборудование и ПО оставить "как есть". Следует обеспечить максимально естественную рабочую конфигурацию, которая не нарушает процессы в компании. В ряде случаев невозможно проводить тестирование на "боевой" системе, поскольку это может нарушить критически важные процессы внутри компании. Тогда выделяется отдельная тестовая среда с идентичными характеристиками.

Перед проведением пентеста необходимо понять, готова ли организация выделить бюджет и ресурсы для проведения после пентеста мероприятий с целью повышения эффективности защищенности компаний, потому что получить отчет о результатах и убрать их в ящик – путь в никуда.

Многое зависит от выбранной стратегии тестирования. В режиме "белого ящика" у исполнителя есть вся необходимая информация, которую предоставляет тестируемая организация. Это значит, что как минимум ИБ-служба в курсе происходящего.

Возможен вариант пентеста в режиме red team vs blue team. В этом случае "синяя" команда пытается предотвратить вторжение и обнаружить злоумышленника, при этом зная время и примерное направление атаки, чтобы иметь возможность подготовиться. Наиболее чистым вариантом тестирования (когда основной задачей является определение самого факта проникновения и возможных направлений атак) считается Red Teaming, при котором служба безопасности не знает о возможном вторжении.

Условия успеха

Необходимо четкое понимание того, что мы хотим тестировать. В идеале нужно делать пентест по всем направлениям, но стоит учитывать, что это дорого стоит и требует немало времени.

Нельзя игнорировать внутреннего заказчика теста: если руководителю организации первостепенна сама возможность проникновения, то департаменту информационной безопасности нужна более детальная информация (как быстро злоумышленник может реализовать недопустимое событие, какие уязвимости использовал, какие инструменты задействовал, к какой информации был получен доступ).

Бывают случаи, когда отчет прежде всего нужен сотрудникам департамента информационных технологий и в нем необходимо отразить, какое ПО в зоне риска, а также как это можно исправить, не нарушая функционирование всех процессов.

Вне зависимости от задач пентеста необходимо понимать, что процедура тестирования на проникновение ни при каких условиях не может на 100% воссоздать атаку реального злоумышленника.

Действия пентестера ограничиваются Уголовным кодексом, он не может атаковать личные телефоны, ноутбуки, не может применять угрозы и шантаж при социальной инженерии.

Как показывает практика, злоумышленник в среднем находится около четырех дней внутри периметра, прежде чем реализовать недопустимое событие. А значит, используя современные средства, SOC-команда должна успеть обнаружить атаку и провести действия для ее предотвращения. Это позволяет оценить компетентность службы ИБ. Согласно статистике компании Positive Technologies, хакеру в 96% случаев удается проникнуть внутрь периметра организации, а в 89% случаев удается реализовать недопустимое событие с разной степенью ущерба. Пентест с большой долей вероятности покажет слабые места, которые будут требовать немедленной корректировки.

 

Темы:ПентестЖурнал "Информационная безопасность" №4, 2023

Актуальные вопросы защиты информации
Организатор: ФСТЭК России
14 февраля 2024

Жми для участия
Кибербезопасность в новой реальности
15 февраля 2024. Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по той же темеСтатьи по той же теме

  • Карьера пентестера: с чего начинать
    Андрей Горшков, специалист команды анализа защищенности Angara Security
    Тем, кто выбирает эту профессию, следует иметь в виду, что она требует постоянного развития и умения пользоваться библиотекой ресурсов для самообразования.
  • Автоматизация пентеста: на шаг впереди хакера
    Виктор Сердюк, Генеральный директор АО “ДиалогНаука”
    Традиционный подход к пентесту дает лишь статичный снимок того, как атакующий может взломать сеть в конкретный момент времени.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для ключевых отраслей
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
Жми, чтобы участвовать