Журнал "Information Security/ Информационная безопасность" #2, 2018

Тестирование на проник- новение (Penetration Тest, жаргонно "Пентест") – метод оценки безопасности ком- пьютерных систем или сетей передачи данных посред- ством моделирования атаки нарушителя. Что такое Penetration Тest? Тестирование на про- никновение, как прави- ло, является частью аудита информационной безопасности и относит- ся к так называемому активно- му анализу, дополняющему "пассивный" анализ уязвимо- стей информационной системы, осуществляемый при помощи инструментальных средств – сканеров безопасности. Целью тестирования на про- никновение является оценка воз- можности успешного проведе- ния злоумышленником атаки (в т.ч. целевой) на информа- ционную систему и ее послед- ствий, а его задачи следующие: l выявление недостатков в при- меняемых в информационной системе мерах безопасности и оценка возможности исполь- зования их нарушителем; l получение на основе объ- ективных свидетельств оценки текущего уровня защищенности; l практическая демонстрация возможности использования уязвимостей; l выработка рекомендаций по устранению выявленных уязви- мостей и недостатков для повы- шения уровня защищенности. В ходе тестирования на про- никновение моделируется пове- дение потенциального наруши- теля, проводящего активную атаку на систему, посредством эксплуатации выявленных в ходе атаки уязвимостей. Резуль- татом тестирования, как прави- ло, является отчет, содержащий в себе все найденные уязвимо- сти безопасности информацион- ной системы и рекомендации по их устранению. Как правило, при проведении тестирования на проникновение осуществляется моделирование поведения следующих видов нарушителей: 1. Квалифицированный внеш- ний нарушитель – действует извне, по сути, проникает в систему в точке подключения к сети общего доступа (между- народного обмена), не имеет привилегий (например, прав пользователя) и осуществляет атаки, направленные на полу- чение несанкционированного доступа к ресурсам информа- ционной системы или узлам сети передачи данных, так назы- ваемая модель черного ящика. 2. Квалифицированный внеш- ний нарушитель, имеющий при- вилегии пользователя в системе, – действует извне, по сути, прони- кает в систему в точке под- ключения к сети общего доступа (международного обмена) и осу- ществляет атаки, направленные на повышение привилегий и получение несанкционированно- го доступа к ресурсам информа- ционной системы или узлам сети передачи данных, не предусмот- ренным для его роли (например, попытка получить права адми- нистратора), так называемая модель серого ящика. 3. Квалифицированный внут- ренний нарушитель, имеющий привилегии пользователя в системе, – действует внутри информационной системы и осу- ществляет атаки, направленные на повышение привилегий и получение несанкционированно- го доступа к ресурсам информа- ционной системы или узлам сети передачи данных, не предусмот- ренным для его роли, так назы- ваемая модель белого ящика. Зачем и кому нужен Penetration Тest? Стандартный классический подход к защите информации, обрабатываемой в информа- ционных системах, базируется на гипотетической оценке пове- дения потенциального наруши- теля, моделировании угроз и построении на их основе систе- мы защиты. При этом модели- рование поведения нарушителя применительно к реально функ- ционирующей информационной системе, как правило, не используется. Отсюда давно известная проблема: применяе- мые меры безопасности во мно- гих случаях не могут обеспечить эффективную защиту инфор- мационной системы, несмотря на то что по документации все идеально (преобладание "бумажной безопасности"). С учетом этого, по мнению автора, проведение тестирова- ния на проникновение необхо- димо для любой информацион- ной системы, но прежде всего для информационной системы, являющейся объектом критиче- ской информационной инфра- структуры 1 . Так, в соответствии со ст. 1 и ст. 4 Федерального закона от 26.07.2017 г. № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации" целью данного федерального закона является устойчивое функцио- нирование критической инфор- мационной инфраструктуры Российской Федерации при про- ведении в отношении нее ком- пьютерных атак, а одним из принципов обеспечения без- опасности – приоритет пред- отвращения компьютерных атак. 12 • ТЕХНОЛОГИИ Penetration Test: что и зачем? enetration Test – метод оценки безопасности компьютерных систем или сетей передачи данных посредством моделирования атаки нарушителя, как правило, являющийся частью аудита информационной безопасности организации. В чем заключается указанный метод оценки безопасности, является ли он обязательным, как организовать его с получением максимального эффекта, читайте в данной статье. P Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова 1 Что такое объект критической информационной инфраструктуры – см. статью Саматов К.М., КИИ: Чего ожидать и что делать? // InformationSecurity/Информационная безопасность. – 2018. – № 1. – С. 16–18.