Мы беседуем с Александром Мялковским и Андреем Ковалевым – экспертами по информационной безопасности компании Яндекс.Деньги

Андрей Ковалев: По моему мнению, пентесты нужно проводить тогда, когда руководителю направления информационной безопасности кажется, что все хорошо, угрозы предотвращены, уязвимости закрыты и можно спать спокойно. Если о незакрытых уязвимостях известно, смысла в пентесте нет, и так понятно, что делать.

Александр Мялковский: Пентест – один из видов оценки соответствия. Поэтому его необходимо проводить в двух случаях. Во-первых, при изменении актуальности угроз или появлении новых. Во-вторых, при изменении информационной инфраструктуры и системы защиты. В первом случае имеет смысл проводить пентесты, если в компании существуют процессы поддержания системы защиты в актуальном состоянии, во втором – после внедрения новых систем (в том числе систем защиты информации) или их модернизации. Иначе пентест – практически бессмысленная трата денег: даже обязательный периодический пентест (например, по PCI DSS) станет простой формальностью.

Андрей Ковалев: Для нас угрозы принципиально не поменялись – это все те же попытки получить несанкционированный доступ, заблокировать работу системы. Стоит, наверное, говорить о возросших возможностях злоумышленников, которые могут атаковать инфраструктурные элементы, которым безопасники «по умолчанию» доверяют, – корневые DNS-серверы, магистральный роутинг и т.д. Соответственно, нет неуязвимых сервисов и нельзя рассчитывать на других – те же Amazon Web Services, Google могут быть скомпрометированы (привет от NSA), оказаться недоступны. Также я с осторожностью смотрю на SMS в качестве механизма аутентификации – слишком сильно на него все полагаются, а с развитием проектов вроде OpenBTS можно легко представить себе способы перехвата SMS. Поэтому, даже используя SMS-защиту для кошельков, мы одновременно разрабатываем более безопасные способы защиты.

Александр Мялковский: Угрозы зависят в первую очередь от объекта защиты и его свойств. По сути угрозы в последнее время сильно не поменялись, увеличились только риски их реализации, которые можно было бы спрогнозировать и ранее. С учетом уменьшения стоимости средств электроники, вычислительных мощностей и объемов кода можно выделить появление нескольких тенденций. Первая – атаки на гипервизоры облачных провайдеров. Вторая – увеличение вирусной активности на мобильных устройствах, по сути уже не отличающихся от обыкновенных ПК. И третья – атаки на каналы связи для прослушивания (Wi-Fi-сети, сети сотовых операторов). Здесь прослеживаются общие цели злоумышленников – доступ к конфиденциальным данным или завладение ресурсами для дальнейшего развития атаки.

Андрей Ковалев: Заметно, что в последнее время стали публиковаться уязвимости в старых, давно используемых продуктах, пример – тот же OpenSSL. Это еще раз напоминает, что «верить нельзя никому», нет волшебной «серебряной пули», необходимо строить многоуровневую систему защиты и всегда предполагать отказ в самой его худшей форме в любом месте.

Александр Мялковский: Наверное, все уязвимости можно в той или иной мере назвать классическими, так как они зависят от технологий и способов их реализации. Из нового, пока что существующего в лабораторных условиях, можно выделить уязвимости среды виртуализации, позволяющие выйти за границы, определяемые гипервизором.

Александр Мялковский: От направления деятельности компании зависят виды обрабатываемой конфиденциальной информации и сами способы ее обработки. В большей степени это накладывает отпечаток на социотехнические пентесты, в меньшей – на внутренние и внешние.

Александр Мялковский: Тенденции в большей степени зависят от регуляторов. На мой взгляд, основная масса заказчиков проводит пентесты в рамках комплаенса.

Андрей Ковалев: Как я уже говорил, если компания полагается даже на крупный и серьезный облачный сервис, необходимо иметь ввиду, что и он может оказаться в какой-то момент недоступным или скомпрометированным. Нельзя рассчитывать на их неуязвимость, необходимо включать в свою картину мира возможность их компрометации и иметь BCP (Business Continuity Planning), позволяющий продолжать работу без облаков.

Александр Мялковский: Использование облачных сервисов ведет к усложнению системы в целом (чужая неподконтрольная инфраструктура, требования к каналам связи, юридические особенности). Чем сложнее система, тем меньше ее надежность, тем больше каналов утечки информации.

Андрей Ковалев: Нет, конечно. Нельзя предотвратить DDoS, который окажется более мощным, чем ваша инфраструктура защиты. Здесь важно, знаете ли вы, что будете делать, когда атака случится. Мне кажется, сейчас правильнее говорить не только и не столько о предотвращении угроз, сколько о реакции на их реализацию, совмещении работы по инцидентам безопасности с разработкой планов обеспечения непрерывности бизнеса.

Александр Мялковский: Повсеместный переход на риск-ориентированное построение систем защиты, на мой взгляд, наглядно демонстрирует, что сообщество специалистов по информационной безопасности четко осознает – панацеи не существует.

Александр Мялковский: Уже больше 10 лет в России идет попытка перейти от «Оранжевой книги» (РД ФСТЭК) к «Общим критериям». Это демонстрирует наше значительное отставание в подходах и низкую эффективность системы образования в области ИБ. По сути, российских специалистов, хорошо разбирающихся в общих критериях, можно по пальцам пересчитать.