В силу многих причин CVSS так и не стала стандартом в этой области, а обязанность доказывать реализуемость конкретных векторов атак перешла к практикам. Опубликованный в 2005 г. стандарт PCI DSS выделил пентесты в самостоятельную прикладную задачу и определил базовые правила их проведения. Позже появились обособленные, «пентестерские» методологии OWASP и OSSTMM.
Основная цель пентеста — подтвердить или опровергнуть риски несанкционированного доступа к защищаемой информации с помощью найденных уязвимостей. А главный принцип выполнения — обеспечить необходимую доказательность путем применения техник, методов и инструментария, используемых злоумышленниками.
В этой статье я расскажу, какие бывают пентесты, как выбрать правильного подрядчика, как работает сервис и что на выходе получает бизнес.
Основные методы тестирования
Весь процесс «классического» тестирования по методу BlackBox/GreyBox проводится при моделировании действий внешнего или внутреннего нарушителя, с единственным отличием — отсутствием намеренных деструктивных шагов в отношении тестируемой инфраструктуры.
При определении зоны исследования и подхода к проведению тестирования берутся в расчет исходные сведения о системе (WhiteBox, BlackBox, GreyBox) и осведомленность персонала заказчика о проводимых испытаниях, а также учитывается положение специалиста, проводящего тесты, относительно сети системы (вовне, внутри).
Для оценки методом WhiteBox специалисту предоставляется полная информация о системе и действующих средствах защиты. Плюсы данного метода заключаются в том, что оценка будет произведена качественнее, нежели при проверке методом BlackBox. Недостаток — в том, что исполнитель тестирования будет находиться в более выгодной позиции, чем злоумышленник в реальной ситуации.
При оценке методом BlackBox информация исполнителю не предоставляется либо дается в минимально необходимом объеме. Плюсы и минусы, соответственно, будут инверсны.
GreyBox — промежуточный вариант между двумя упомянутыми методами оценки. Он подразумевает возможность для тестирующего запрашивать необходимую информацию о системе для сокращения времени тестирования или повышения эффективности. Этот вариант чаще всего является приоритетным, так как его использование позволяет повысить продуктивность исследования за счет снижения времени на рутинную работу по поиску начальной информации. Однако проверка таким методом остается приближенной к моделированию действий злоумышленника.
Зачастую злоумышленник проникает во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. Большинство компаний к этому не готовы отразить такие нападения. Тестирование на проникновение помогает предприятию выстроить эффективные процессы обеспечения безопасности.
Наиболее эффективным является так называемый Red Teaming — симуляция таргетированной атаки (APT). Такого рода работу можно сравнить с войсковой операцией. Кроме того, это прекрасная возможность проверить, насколько эффективно персонал компании умеет отражать множественные, порой довольно жесткие атаки, в том числе на несколько объектов инфраструктуры одновременно.
Тестирование на проникновение (penetration testing) — популярная во всем мире услуга в области информационной безопасности. Задача такого тестирования заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования пентестер выполняет роль злоумышленника, стремящегося нарушить информационную безопасность заказчика.
Пентест — это независимая оценка безопасности инфраструктуры компании, реального состояния и актуальности защитных средств, оценка слаженности работы персонала при возникновении внешней угрозы. Штатные сотрудники, как правило, не обладают достаточной квалификацией для проведения таких работ либо по тем или иным причинам могут скрыть или не увидеть те или иные уязвимости, которые будут обнаружены внешней командой.
Пентест: своими силами или аутсорсинг?
Часто компании предпочитают проводить тестирование на проникновение самостоятельно, делегируя эту роль ИТ- или ИБ-специалистам. Однако их компетенций, как правило, недостаточно для эффективного исследования. Не обладая экспертными знаниями в практическом анализе защищенности всей инфраструктуры, штатный специалист не может выполнить пентест с тем же качеством, что и специализированная экспертная группа. Исполнитель таких задач должен обладать глубокими знаниями в области практической ИБ, иметь узкую специализацию в сфере веб-безопасности, безопасности АСУ ТП, социальной инженерии и т.д. По опыту, такой квалификацией располагают только внешние подрядчики. Так, нашим пентестерам в 90% случаев удается получить доступ к критичной информации компании или инструментам воздействия на ее бизнес-процессы.
В числе сильных сторон специализированных экспертных групп можно также отметить аккумулируемый опыт проведенных работ, незамыленность взгляда и непредиктивный подход, что очень важно при тестировании по методу BlackBox. Например, в одной компании сотрудники службы ИБ руководствовались неполной и устаревшей схемой сетевой архитектуры. Во время проведения тестов были выявлены несколько сегментов сети, оставшихся без внимания ИБ‑специалистов и содержащих критичные данные.
Есть и еще один положительный момент в привлечении внешнего подрядчика: при таком подходе не придется перестраивать область деятельности ваших сотрудников и навязывать им выполнение несвойственных обязанностей.
Компании, в которых ИТ — это сопровождение бизнеса, а не основной актив, не могут себе позволить иметь в штате специалистов по тестированию на проникновение. Конечно, это аргумент в пользу привлечения внешнего подрядчика. Но, с другой стороны, против такого решения выступает сама парадигма ИБ.
Информационная безопасность — это не статика, это процесс. И для поддержания этого процесса гораздо лучше иметь onside-команду для проведения тестирования на проникновение. Как разрешить эту дилемму? Например, для регламентного проведения работ в определенный промежуток времени — привлекать внешнюю команду, а для быстрого реагирования — CSIRT, включающую специалистов различных направлений ИБ, в том числе и пентестеров.
Как устроены пентесты
Множество критичных уязвимостей выявляются на этапе сбора информации — при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию и внешний/внутренний пентест, является наиболее эффективным — большинство пользователей атакуемой системы восприимчивы к социотехническим атакам.
Наш секрет мастерства:
- Постоянно участвуем в тестировании различных объектов.
- Участвуем в командных соревнованиях по информационной безопасности и побеждаем в них.
- Участвуем в программах Bug Bounty — включены в залы славы таких компаний, как Yandex, Mail.RU, AT&T и многих других.
- Участвуем в проекте OWASP.
- Пишем статьи по практической ИБ.
- Находим уязвимости нулевого дня в различных приложениях.
- Разрабатываем ИБ-продукты.
- Участвуем в профильных конференциях в качестве спикеров.
В работе мы используем коммерческие продукты и собственные специализированные разработки, редко встречающиеся в арсенале ИТ/ИБ-команд, для которых тестирование на проникновение — не ежедневная задача, а возникающая время от времени необходимость. Как правило, содержание такого непрофильного актива — непозволительная роскошь для компаний, поэтому гораздо выгоднее привлекать экспертов в области практической ИБ по мере необходимости.
Выполняя тестирование на проникновение, мы руководствуемся стандартами и методологиями OWASP и OSSTMM. Наши специалисты адаптируют и развивают методы тестирования на проникновение, «держат руку на пульсе» современных методов и техник атак.
Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых потенциальным злоумышленником действий в условиях, максимально приближенных к реальности. Это позволяет выявить наиболее уязвимые места в информационной системе, проанализировать причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты.
Многие останавливаются на этапе «бумажной безопасности» — формируют пакет необходимых документов по ИБ, не подозревая при этом о фактических проблемах в системе безопасности предприятия и о тех последствиях, которые возникнут при использовании таких уязвимостей злоумышленниками.
Основные направления тестирования:
- тестирование на проникновение для внешнего периметра;
- тестирование на проникновение для внутреннего периметра;
- тестирование на проникновение для веб-приложений;
- тестирование беспроводных сетей;
- использование социальной инженерии;
- анализ мобильных приложений.
Пентестеры имитируют реальную атаку, просматривая сеть, сайт, приложения, устройства, оценивая возможность физического доступа, чтобы определить, как будет работать механизм защиты. Они рассматривают ситуацию и как хакеры, и как эксперты в области кибербезопасности. Это позволяет проанализировать ИБ-политики организации и оценить степень осведомленности ее сотрудников об угрозах, например о возможностях социальной инженерии. Кроме того, пентестеры оценивают способность компании выявлять подобные инциденты и своевременно реагировать на них.
Для иллюстрации можно привести пример банка, который нанимает «грабителя» и отправляет его в отделение с целью получить доступ к хранилищу. Если этот человек сумеет попасть в хранилище, то служба безопасности, помимо выговора, получит и ценную информацию о том, как улучшить систему защиты и какие аспекты требуют более детального рассмотрения.
70%
веб-сервисов
не выдержали тестирования с применением продвинутых техник фаззинга и значительно замедлили свою работу
Результаты работы наших пентестеров за II-IV кварталы 2018 г.
- Специалисты Лаборатории практического анализа защищенности компании «Инфосистемы Джет» выявили критичные и сверхкритичные уязвимости в компаниях электронной коммерции, на предприятиях финансового и промышленного сегментов.
- Специалистам удалось получить доступ в управляющие сегменты трех АСУ ТП и полностью захватить их инфраструктуру. В одном из случаев доступ в технологический сегмент был осуществлен из сети Интернет.
- В ходе одного пентеста были скомпрометированы более 1000 АРМ и 200 серверов.
- Воспользовавшись уязвимостью в системе ДБО, специалисты лаборатории смогли получить данные клиентов крупного банка.
- В четырех пентестах были найдены пароли к учетным записям сотрудников ИБ-службы и топ‑менеджмента компании.
- В двух случаях специалисты Лаборатории практического анализа защищенности выявили логические уязвимости, с помощью которых можно было производить любые манипуляции с банковским счетом, в том числе переводить на него средства со сторонних счетов.
- 70% веб-сервисов не выдержали тестирования с применением продвинутых техник фаззинга и значительно замедлили свою работу — вплоть до остановки сервисов и полной деградации инфраструктуры.
- Реализованные социотехнические атаки позволили получить: критичные данные для входа в сети организаций; финансовую отчетность компании с оборотом свыше 1 млрд руб.; учетные и личные данные топ-менеджмента различных компаний; доступ к корпоративным порталам и т.д.
- В 10% случаев доступ к ресурсам компании был получен через third-party-сервисы (при согласовании с заказчиком) или на этапе сбора информации из открытых источников.
- 50% атак на беспроводные (в том числе гостевые) сети компаний открывали полный доступ к внутренней сети компании.
Основные этапы
- Сбор информации — поиск данных об организации и сотрудниках в открытых источниках, социальных сетях, на форумах и блогах.
- Инвентаризация ресурсов, поиск технической базы — определение существующих ресурсов, приложений и технических средств защиты.
- Анализ уязвимостей и угроз — обнаружение уязвимостей в системах безопасности и приложениях с применением набора инструментов и утилит, как коммерческих и публичных, так и разработанных непосредственно для конкретной цели.
- Эксплуатация и обработка данных — имитация реальной кибератаки с целью получения сведений о любых уязвимостях для дальнейшего анализа ситуации и расширения поверхности атаки.
- Формирование отчета — оформление и презентация итогов тестирования с выводами и предложениями по улучшению существующей системы безопасности.
Наиболее эффективным пентестом является так называемый Red Teaming — симуляция таргетированной атаки (APT). Такого рода работу можно сравнить с войсковой операцией. Кроме того, это прекрасная возможность проверить, насколько эффективно персонал компании умеет отражать множественные, порой довольно жесткие атаки, в том числе на несколько объектов инфраструктуры одновременно.
Что в результате?
Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно, и метод «кувалды» никто не отменял), а в использовании результатов подобных проверок для совершенствования системы управления информационной безопасностью. Безусловно, этого можно достичь только при правильной интерпретации полученных данных и при широком охвате возможных и наиболее вероятных вариантов атаки. Что такое «правильная интерпретация результатов пентеста»? Помимо оперативного устранения уязвимостей, заказчик подобных услуг должен выстроить процессы СУИБ таким образом, чтобы предотвратить появление атак в дальнейшем.
Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых потенциальным злоумышленником действий в условиях, максимально приближенных к реальности. Это позволяет выявить наиболее уязвимые места в информационной системе, проанализировать причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом.
Многие останавливаются на этапе «бумажной безопасности» — формируют пакет необходимых документов по ИБ, не подозревая при этом о фактических проблемах в системе безопасности предприятия и о тех последствиях, которые возникнут при использовании таких уязвимостей злоумышленниками.
Пентест показывает реальное состояние защищенности, которое, к сожалению, в большинстве случаев кардинально отличается от описанного в документах.
Результат пентеста — экспертное заключение с перечнем всех выявленных уязвимостей и детальным планом действий по их устранению и обеспечению защиты ресурсов компании от атак.
Мы настоятельно рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых законодательством или устанавливаемых регуляторами, а обязательно проверить систему в «боевых условиях», что позволит максимально снизить риски компрометации вашей инфраструктуры. Важно, чтобы такой процесс был непрерывным. Для снижения рисков необходимы регулярные проверки защищенности инфраструктуры и ее критичных элементов.