Тест на проникновение как объективный метод оценки защищенности компании
Существует тысяча и один способ взломать сеть и добраться до критическии важной информации. Любому человеку свойственны ошибки, и он неизменно их совершает на протяжении всей истории своего существования.
Вследствие чего современные сложные системы содержат миллионы ошибок,
которые рано или поздно обнаруживаются и используются для получения доступа к закрытым данным. Бизнес требует достижения результата любой ценой, однако часто забывает о безопасности своих информационных активов, в то время как каждый день публикуются десятки новостей о взломах и инцидентах информационной безопасности. Отсутствие управления системой информационной безопасности, неправильная настройка оборудования, отсутствие механизмов управления обновлениями,
процессов мониторинга, отслеживания и регистрации инцидентов, все это подвергает онфиденциальные данные компаний значительному риску.
Тест на проникновение (penetration test или сокращенно pentest) - это практический способ показать, насколько защищена компания от посягательств на ее конфиденциальные данные и других угроз для информации. За рубежом также часто встречается термин этический хакинг (ethical hacking). Данный метод симулирует набор «хакерских» атак, цели которых - проникновение во внутреннюю инфраструктуру сети компании, кража и/или модификация конфиденциальных данных, нарушение работы критических бизнес процессов компании. Такое мероприятие является необходимым для любых ком- паний, зависящих от информации и обслуживающих ее систем информационных технологий (ИТ). К примеру, работа банковского учреждения практически полностью зависит от функционирования процессинговых систем, а интернет магазин перестанет совершать продажи в случае блокирования его WEB сайта.
С каждым днем все больше ощущается зависимость от ИТ технологий и информации в
любых компаниях независимо от направления их деятельности. Инциденты информаци-
онной безопасности, связанные с взломами, часто становятся критическими или даже роковыми для множества компаний ежегодно, а сегодня стали актуальными и для Украины. Подобные инциденты, как правило, умалчиваются, что создает определенную атмосферу беспечности для других компаний.
Однако некоторые случаи все же попадают в СМИ и публикуются на популярных новост-
ных сайтах. Достаточно вспомнить нашумевший инцидент с несанкционированным доступом к системе «клиент-банк» одного из банков и крупного оператора связи в марте 2011 г., когда был нанесен ущерб в размере около 7 млн. грн. Конечно, благодаря оперативности профильных подразделений МВД Украины и банковских работников злоумышленники были найдены, но репутации банка был нанесен существенный
ущерб.
Сегодня тестирование на проникновение не достаточно распространенная услуга на
украинском рынке информационной безопасности, однако практика проведения подобных тестов - обычное дело для зарубежных компаний, или компаний ориентированных
на международные стандарты. Очень немногие украинские компании проводят такие
мероприятия ввиду многих причин, среди которых есть определенные заблуждения.
Рассмотрим эти заблуждения более детально.
Заблуждение 1: Цена
Большинство компаний готовы тратить миллионы на приобретение различных ИТ-
решений и обслуживание этих «самолетов», которые не работают даже на 30% своих возможностей, но не готовы тратить адекватные деньги за уверенность в сохранности своего бизнеса. В информационной безопасности есть золотое правило, которое гласит, что стоимость защиты информации никогда не должна превышать ее стоимость.
Средняя стартовая цена на pentest в Украине колеблется
от 10 000 $ и возрастает в зависимости от объемов и опций теста, о чем пойдет речь чуть ниже. Средняя цена за полноценный комплексный проект может составить около 20 000$ и даже больше.
Расходы, связанные с тестом на проникновение включают оплату труда экспертов, поддержку специализированного программного обеспечения (ПО), оборудования и ИТ-услуг (например, покупку анонимных VPN каналов, создание фишингового сайта и т.п.) и
накладные расходы. В случае с иностранными аудиторами расходы возрастут в связи с более высокими ценами на услуги и оплату труда, а также необходимостью дополнительно оплатить переезд и проживание в отеле для исполнителей.
Говорить о меньших суммах возможно только в случае уменьшения объема и качества
работ, использовании неквалифицированных специалистов – любителей, сомнительного или взломанного ПО. В этом случае заказчик просто впустую тратит свое время и деньги и получает вместо услуги «галочку для руководства».
Заблуждение 2: Неумение специалистов ИБ отличить сканированеи уязвимостей от теста на проникновение
В действительности эти понятия представляют собой разные услуги.
Сканирование уязвимостей производится специальными программами-сканерами, которые позволяют в автоматическом режиме проверять сетевой периметр и веб-сайты компании на наличие брешей. Несомненно, такое мероприятие является одним из ключевых этапов теста на проникновение, позволяющим найти значительное количество потенциальных уязвимостей в системе, определить отсутствие патчей или других проблем в защите ИТ-систем. Следует учесть тот факт, что логика работы данных сканеров не позволяет обнаружить всего, что может обнаружить команда профессиональных экспертов. Значительное количество уязвимостей остается за рамками охвата любого из известных сканнеров. Тест на проникновение предполагает
системный подход, поиск и анализ информации из различных источников, проведение атак методами социальной инженерии, глубокое сканирование сети и сайтов компании различными методами и инструментами, проверку реакции сотрудников на возникновение инцидентов ИБ, что позволяет более адекватно оценить состояние информационной безопасности, а также необходимых процессов ИБ.
Заблуждение 3: Тест на проникновение это долго и непонятно, что делать с результатом
К сожалению, отсутствие риск менеджмента в большинстве украинских компаний
является фактом сегодняшнего дня. В действительности, результаты теста позволяют
получить входные данные для анализа рисков ИТ, оптимизировать затраты на информационную безопасность (направлять бюджет именно на проблемные области), корректировать стратегию ИТ с бизнес-стратегией компании с учетом выявленных рисков. Касаемо длительности, в зависимости от объемов теста (количества целевых объектов Заказчика) длительность варьируется в пределах от 3 до 8 недель.
Методы этического хакинга
Итак, что-же все-таки собой представляет и как организован процесс этического хакинга?
В отличие от реальных злоумышленников, команда тестеров соблюдает определенные
этические правила при проведении всех работ: любые опасные действия совершаются только по предварительному согласованию с заказчиком, весь процесс сканирования
прозрачен и спланирован, работа критических бизнес-процессов не нарушается, а в конце теста заказчик получает объективный отчет о состоянии дел в его системе безопасности в терминах, понятных не только ИТ специалистам, но и бизнесу.
Существование различных методик проведения тестов на проникновение не отменяет творческой составляющей процесса, что требует от команды, исполняющей его, глу-
боких познаний в сфере ИТ- безопасности и в тоже время - умения мыслить нестандартно, применять методы социальной инженерии, собирать и анализировать информацию. Хорошей иллюстрацией такого подхода в мышлении и методах является кино-трилогия о «N Друзей Оушена». Существуют как открытые, так и коммерческие методологии проведения тестов на проникновение, способные при соблюдении всего процесса обеспечить гарантированное качество услуги. Однако на практике использование только лишь одной методологии не является целесообразным, как
правило, они используются модульно с необходимой доработкой. Некоторые методологии уже устарели и не учитывают стремительные темпы развития ИТ, а некоторые охватывают только организационные моменты, не вдаваясь в технические детали, другие же нацелены лишь на определенные технологии и практически ни
одна методология не способна учесть особенности украинской сферы ИТ-технологий.
Как правило, все методологии, с небольшими отклонениями предусматривают следующий сценарий проведения теста на проникновение:
1. Планирование теста на проникновение.
2. Сбор информации о целевых системах.
3. Поиск уязвимостей.
4. Проникновение в системы.
5. Написание и предоставление отчета.
6. Очистка систем от последствий теста. После проведения теста возможны остаточные следы теста, так называемые артефакты, которые необходимо устранить. Например, если был получен доступ к какой-либо системе, то необходимо провести смену паролей для всех ее пользователей, в случае использования вирусов их также следует удалить, и т.д.
Заключение
Как видно из описанного выше, тест на проникновение – это сложная и объемная услуга,
которая может показать текущую картину защищенности информационных систем. Результаты проведения подобного теста часто удивляют руководство компаний-заказчиков. Из практики проведения тестов в Украине можем отметить уязвимости, связанные со слабой организацией в установке обновлений и заплаток (patch management), проникновение внутрь сети через «бесхозные» сервисы, расположенные по соседству с критическими бизнес приложениями, несерьезное отношение к вопросам осведомленности персонала в вопросах информационной безопасности, что позволяет в 99% случаев успешно реализовать атаки методами социальной инженерии.
Новые уязвимости в системах и технологиях обнаруживаются практически ежедневно. Таким образом, защита информации в компании должна стать постоянным процессом, а не разовым мероприятием. Хорошей практикой считается проводить тесты на проникновение, как минимум раз в год, а в периоды между ними организовать процесс управления уязвимостями (vulnerability management) путем закупки сканера уязвимостей и периодического самостоятельного сканирования периметра сети. Такой подход обеспечит оптимальную защиту от целенаправленных атак либо со стороны конкурентов или других заинтересованных лиц, имеющих определенные ресурсы (время, деньги, квалифицированных специалистов и технологии), соизмеримых со стоимостью самой информации. Следует также отметить, что тест на проникновение не дает 100% гарантии защищенности систем: существуют 0-day уязвимости, о существовании которых известно лишь ограниченному кругу лиц. Подобными уязвимостями пользуются хакерские сообщества, наподобие прославившихся Anonymous. На подпольных сайтах за определенную сумму возможно приобрести эксплойты для этих уязвимостей, и в случае достаточных ресурсов у злоумышленника, вопрос взлома становится делом времени.
Чтобы уменьшить вероятность и последствия взлома необходима организация подхода
«defense in depth» (глубокоэшелонированной защиты) и высокой доступности, наладка всех необходимых процессов для реакции на попытки взлома и уменьшения последствий
атаки. Важными элементами являются организация следующих процессов:
- установка обновлений в системах и ПО;
- управления рисками для критических бизнес процессов и систем;
- управления изменениями;
- мониторинг и регистрация событий безопасности;
- реакция на инциденты в случае обнаружения взлома;
- расследование инцидентов (forensics) сюридически правильным оформлением улик;
- обучение сотрудников правилам ИБ;
- управление резервированием и восстановлением информации.
Для организации всех необходимых процессов необходимо избрать один из подходов к обеспечению информационной безопасности, предлагаемый международными, а теперь для определенных отраслей и национальными стандартами. Надеемся, что данная статья поможетчитателям в организации и проведении тестов на проникновение и предотвратит инциденты информационной безопасности на предприятии.
Коментарі
Невірно заповнені поля відзначені червоним.
Будь ласка, перевірте форму ще раз.
Ваш коментар відправлений і буде доступний на сайті після перевірки адміністратором.
Інші статті в категорії IT, програмування, розробка Охорона праці, санітарні норми Фінанси, кредит, банківська справа