Пентесты: кому и зачем?
ПЕНТЕСТ - ПРОВЕРКА НА УЯЗВИМОСТЬ
Традиционно для защиты информационной системы компании строят и формируют всевозможные защитные механизмы. Злоумышленник же хитёр и коварен. Он делает все, чтобы дестабилизировать процесс работы. И здесь на помощь приходят пентесты, когда атаку моделирует специалист, который выявляет слабые места системы и дает советы для ее совершенствования.«Всё должно начинаться с аудита безопасности, в котором важную роль играет пентест ― услуга, позволяющая вскрыть недостатки в организации безопасности заказчика и понять, что необходимо защищать в первую очередь. Потому что представленная в киберпространстве компания, которая ранее не подвергалась кибератакам, вряд ли сможет другим способом эффективно протестировать свои вложения в кибербез», ― Николай Фокин, директор Центра информационной безопасности компании «ЛАНИТ-Интеграция».
Фактически речь идет об имитации кибератаки или действий злоумышленника, нацеленных на получение доступа к информации, к эксплуатации информсистем с целью, например, вывода денежных средств. Пентест может быть внутренним и внешним. В первом случае компания-исполнитель работает в инфраструктуре заказчика и, например, пробует повысить права пользователя. Во втором случае тестовый удар по инфраструктуре заказчика наносится снаружи.
Пентест
По словам руководителя службы информационной безопасности компании «Онланта» Мурада Мустафаева, очень многие представители госсектора (правительственные организации, муниципалитеты, федеральные службы) сегодня активно используют пентесты для проверки защищенности своих информационных систем. Как правило, госструктуры заказывают тестирование по типу «серого ящика». В этом варианте один из методов пентеста предполагает поиск сотрудников организации в соцсетях, проведение брутфорс-атаки (от англ. brute force — грубая сила, метод поиска пароля путем перебора всех возможных комбинаций) и использование социальной инженерии.
Какие они, уязвимости
Таким образом, самые распространенные уязвимости завязаны на людей. И сценарии таких атак постоянно совершенствуются. Целью номер один часто становятся внутренние разработчики и сетевые администраторы, которые имеют привилегии доступа к инфраструктуре.
«От этого полностью защититься невозможно. Например, в ходе пентеста мы вычислили в открытых источниках разработчика, отправили ему вредоносный документ, а он просто переслал его своим коллегам. Сделано это было лишь потому, что мы представились кем-то из руководства. И таким образом, у нас было пять различных уровней доступа в инфраструктуру заказчика», ― Илья Завьялов, директор департамента по противодействию киберугрозам компании «Информзащита».
Другая проблема – веб-уязвимости. По его словам, далеко не во всех компаниях есть культура безопасной разработки интернет-сервисов и приложений. То есть разработчики и сотрудники ИБ не всегда перед запуском в общий доступ или очередным обновлением продукта проводят его аудит, оставляя возможность утечек исходных кодов и сохраненных паролей.
Также, по данным «Информзащиты», у российских компаний множество уязвимостей связано с отсутствием процессов обеспечения безопасности внутренней инфраструктуры. Один из них – это управление уязвимостями (Vulnerability Management), когда чуть ли не каждые две недели команда ИБ проводит полное сканирование всей внутренней инфраструктуры и инвентаризацию ИТ-активов.
«У многих клиентов до сих пор есть такая установка: нас же не ломали ни разу, значит, всё хорошо. При этом в инфраструктурах, особенно у больших компаний, очень много уязвимостей, которые не закрываются годами: забыли про какой-то сервер, про рабочую станцию давно уволившегося пользователя, про его учетную запись», ― Илья Завьялов, директор департамента по противодействию киберугрозам компании «Информзащита».
По его словам, глубокое сканирование помогает найти недостатки в настройках Active Directory (используемая повсеместно служба каталогов от Windows). Например, есть уязвимость в сервисе Exchange, который отвечает за доставку почты в домене. Если злоумышленник скомпрометирует этот сервис, он сразу получает максимальные привилегии, потому что сервис Exchange по умолчанию имеет права на все учетные записи домена.
Проблемой является и слабая парольная политика. У типичной большой компании могут быть ip-камеры наблюдения, принтеры, другие устройства, которые поддерживают авторизацию Microsoft. «Камеры и принтеры часто не контролируются сотрудниками ИБ. Ну, стоит себе принтер, его задача ― печатать, а камера просто записывает видео. Что может с ними случиться? На самом деле злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку», ― поясняет специалист «Информзащиты».
Пентест автоматом
Пентесты обычно проводят в ручном режиме с учетом особенностей и пожеланий заказчика. Однако все больше заказчиков хотят автоматизировать процесс тестирования, имея в своем периметре систему непрерывного мониторинга и запуска пентестов.«Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов. Представим ситуацию: пришли специалисты, проверили инфраструктуру компании, нашли уязвимости, выдали рекомендации по изменению. Но после этого в ИТ-ландшафт могут быть внесены изменения, и результаты пентеста становятся неактуальны. Между тем, делать его каждый месяц или даже квартал очень накладно. И здесь может помочь только автоматизация», ― поясняет Фокин из «ЛАНИТ-Интеграции».
В связи с этим на рынке появился, по сути, новый класс систем – системы автоматизации пентеста.
Как охотится PenTera
«Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, потому что у человека есть креативное мышление. Но, что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ― всё это система обеспечивает», ― Николай Фокин, директор Центра информационной безопасности компании «ЛАНИТ-Интеграция».
«Система подключается без установки каких-либо агентов: ты просто приносишь ноутбук, нажимаешь кнопку, и начинается «магия»: система моделирует атаку. Она может горизонтально перемещаться по инфраструктуре в поисках уязвимостей (при этом обеспечивая безопасную эксплуатацию), может повышать привилегии на рабочих машинах», ― продолжает специалист.
Например, система может «подсунуть» сотруднику с определенными правами форму для ввода логина и пароля, после чего продолжит исследовать домен, но уже с повышенными привилегиями, компрометируя этот домен в инфраструктуре.
«В итоге мы получаем не просто набор уязвимостей, а понимание их взаимосвязи между собой. То есть система визуализирует вектор атаки, указывает на ее первопричину ― ту уязвимость, которая позволила быстро проникнуть в инфраструктуру, получить доступ к целевой системе и произвести там некие действия. Это помогает приоритизировать усилия и сконцентрироваться именно на тех проблемах, которые нужно устранить прямо сейчас», ― объясняет Фокин.
Как пройти пентест
Как говорят эксперты, для того, чтобы компания не оказалась абсолютно беззащитной перед тестированием на проникновение, а, следовательно, и перед атакой злоумышленников, нужно начать с соблюдения элементарных правил информационной безопасности, принятых во всем мире и прописанных в международном стандарте ISO 27001.
«Эти стандарты довольно простые: например, срок пароля не должен превышать три месяца, а сам пароль должен состоять из цифр, букв и символов. Блокировка учетной записи пользователя должна происходить после трех попыток неверного ввода пароля. Список требований достаточно большой, но выполняются они легко», ― отмечает Мурад Мустафаев, советуя заказчикам проводить обучение персонала требованиям и практикам в сфере ИБ.
Также специалист считает необходимым регулярно проводить сканирование инфраструктуры на уязвимости, ведь любой хакер начинает атаку именно с этого.
«Если озаботиться защитой инфраструктуры, соблюдать правила информационной безопасности, можно значительно снизить вероятность взлома. И, конечно, нельзя экономить на ИБ, надеясь, что ничего не случится: кибератака – это то, что может коснуться каждого и в любую секунду», ― Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта».
Киберучения; для тех, кто прошел пентест

Для более зрелых с точки зрения ИБ компаний, которые соблюдают стандарты безопасности, прошли пентесты и закрыли очевидные уязвимости, существует следующий уровень повышения защищенности. Его достигают с помощью киберучений – такую услугу также предоставляют профессиональные разработчики.
Если задача первых найти уязвимости и дать рекомендации для их устранения, то вторые предполагают совместный с командой ИБ заказчика поиск возможностей проникновения, проверку навыков и дальнейшее обучение сотрудников.
«На киберучениях команда ИБ заказчика может посмотреть, как действуют реальные злоумышленники. Одновременно мы проверяем работу SOC (Security Operations Center - центр мониторинга и реагирования на инциденты ИБ) заказчика: насколько быстро реагируют на нашу атаку, как ее интерпретируют. Есть возможность пообщаться со «злоумышленником» напрямую, пентест покажет реальные векторы атак и научит противодействовать», ― поясняет Завьялов.
Безопасность как услуга
Рост спроса со стороны заказчиков на информационную безопасность как услугу (SECaaS - Security as a Service) обусловлен участившимися в последнее время кибератаками. При использовании сервисной модели решение задач по защите инфраструктуры компании и ответственность за информбезопасность берут на себя профессионалы. Таким образом, у ИТ-специалистов клиента есть возможность сосредоточиться на профильных бизнес-задачах.
Задумывались ли вы о том, какую долю рабочего времени ваши сотрудники не занимаются своими непосредственными задачами? В области IT этот показатель называется недоутилизация инженерного персонала, он влияет на стоимость техподдержки и экономическую эффективность бизнеса в целом.
Недоутилизация не может быть равна нулю – любой штатный сотрудник вынужден в течение рабочего дня время от времени решать различные организационные вопросы, проходить дополнительное обучение и прочее. И чем выше недоутилизация инженеров службы техподдержки, тем дороже она обойдется работодателю. В отличие от штатного сотрудника аутсорсер может управлять недоутилизацией своих специалистов и перераспределять ресурсы при большом количестве проектов. Кроме того, чтобы управлять недоутилизацией, надо уметь ее измерять и иметь соответствующие инструменты.
«Сегодня на путь «безопасность как сервис» встали и крупнейшие российские вендоры в сфере ИБ, и аутсорсинговые компании. Такая модель позволяет обеспечить требуемый уровень информационной безопасности с меньшим объемом инвестиций. И, самое главное, она открывает клиенту весь спектр возможностей в формате «единого окна»: не нужно общаться с множеством вендоров, чтобы внедрить средства защиты инфраструктуры ― в одном месте можно заказать все необходимые услуги. Именно по такой модели «диного окна» мы оказываем услуги нашим заказчикам из всевозможных сфер и с разным объемом бизнеса, имея собственную экспертизу и партнерство со многими российскими вендорами в сфере ИБ», ― поясняет Мустафаев.
По словам специалиста, активный спрос со стороны заказчиков на модель «ИБ как сервис» во многом стал результатом ухода российских пользователей от практики, когда было не принято рассказывать о состоявшихся взломах и атаках на инфраструктуру.
«В России начали этим делиться более открыто. Высокий уровень защиты бизнесу необходим «здесь и сейчас», поэтому времени и ресурсов на развитие собственных центров не хватает. Выход – поддержка со стороны партнера, обладающего всеми нужными компетенциями, экспертизой и опытом. Возьмем, к примеру, интернет-магазин с небольшим штатом. Компании невыгодно держать дорогостоящего ИБ-специалиста, поэтому проще и эффективнее перейти на модель MSSP (managed security service provider). Компания приобретает нужный набор услуг информационной безопасности «под ключ», развертыванием, сопровождением и поддержкой занимается провайдер с необходимыми компетенциями. Итог ― защищенная инфраструктура без капитальных затрат», ― отмечает представитель «Онланты».
Кому нужен пентест
Спрос на информационную безопасность растет во всех сферах. По словам Мурада Мустафаева, самые крупные инвестиции в ИБ осуществляет сегодня банковский сектор, искренне заинтересованный в сохранении своих информсистем и защите персональных данных.
«Активно инвестирует и промышленный сектор. Подтягивается коммерческий сектор, особенно крупные интернет-ритейлеры. И, самое интересное, беспокоиться о кибербезопасности начал малый и средний бизнес: небольшие компании тоже хотят защитить себя от злоумышленников. SBM даже при взломе небольшой базы теряют конечных клиентов, что естественно, негативно сказывается и финансово, и репутационно», ― объясняет специалист.
Илья Завьялов из «Информзащиты» также отмечает расширение спектра клиентов в области ИБ. При этом новым трендом является рост спроса со стороны небольших компаний, которые ведут бизнес через интернет.
По его словам, все больше представителей малого и среднего бизнеса понимают важность информационной безопасности. «Сегодня невозможно построить компанию, которая будет приносить деньги, и при этом не думать о безопасности. И молодые компании, которые только появляются, заранее строят свою архитектуру с учетом требований ИБ», ― заключает эксперт.
Это долгосрочная инвестиция. Некогда маленькая компания в перспективе может разрастись не только по региону, но и по стране. Все это неизбежно приведет к расширению инфраструктуры, защищенность которой будет гораздо проще обеспечить при наличии базовых систем безопасности.
