Журнал "Information Security/ Информационная безопасность" #2, 2018

Серия стандартов по информационной безопас- ности ГОСТ 27001 пред- усматривает необходимость получения своевременной информации о технических уязвимостях, используемых в информационных систе- мах, оценивать опасность таких уязвимостей и прини- мать соответствующие меры по устранению связанного с ними риска. В своей практической деятельности автор встре- чал лишь малое количество организаций, в штате кото- рых в качестве "внутренних" специалистов по информа- ционной безопасности рабо- тают специалисты подобной квалификации. Как правило, наличие сертифицирован- ных "белых хакеров" являет- ся прерогативой так назы- ваемых интеграторов – организаций, оказывающих услуги по информационной безопасности. Причинами нехватки на рынке труда специалистов подобной квалификации, по мнению автора, являются особенности существующей системы подготовки специа- листов в сфере информа- ционной безопасности в учреждениях высшего и среднего профессиональ- ного образования. В настоя- щее время практически отсутствуют учебные заве- дения, в которых осуществ- ляется подготовка специа- листов с уклоном в компью- терную безопасность (Сyber- security), равно как и соот- ветствующие программы и стандарты подготовки по направлению "Компьютер- ная безопасность" (именно "компьютерная", а не "информационная"). Таким образом, несмотря на то что в настоящее время обя- зательного требования по про- ведению тестирования на про- никновение в действующем законодательстве пока 2 не сформулировано, по мнению, автора, без проведения учеб- ного моделирования атаки на информационную систему и успешного ее отражения вряд ли можно говорить о достаточ- ности принятых мер защиты. Как эффективно организовать Penetration Тest? Изложенные в данном разде- ле рекомендации включают, прежде всего, управленческие вопросы, связанные с органи- зацией проведения тестирова- ния на проникновение в орга- низации, основанные исключи- тельно на опыте автора. Первое, что необходимо опре- делить в процессе организации тестирования на проникновение, – кто будет его проводить: собст- венные ИТ-, ИБ-специалисты или внешние. По мнению авто- ра, качественное тестирование в большинстве случаев может провести специалист, имеющий квалификацию CEH (Certificated Ethical Hacker) или OSCP (Offen- sive Security Certified Profession- al), подтвержденную соответ- ствующим сертификатом. Дефицит указанных специа- листов обуславливает высокую стоимость оплаты их труда, что при вопросе о целесообразности повышения квалификации спе- циалистов по информационной безопасности внутри организа- ции (перед автором вставал такой вопрос) приводит к отри- цательному ответу, т.к. высока вероятность ухода подобного специалиста к интегратору на более высокую заработную плату и лучшие условия труда. Следующим шагом после принятия решения о том, кто будет проводить тестирование на проникновение, является определение тех методов, кото- рые будут использоваться: "чер- ный ящик", "серый ящик", "белый ящик" или комбиниро- ванный метод. На данном этапе необходимо проанализировать действующую модель нарушителя с целью выявления наиболее вероятных для конкретной информационной системы категорий злоумышлен- ников. При этом следует иметь в виду, что согласно официальной статистике наиболее распростра- ненным и наиболее опасным является внутренний наруши- тель. При этом под внутренним нарушителем не всегда необхо- димо понимать работника орга- низации. В корпоративных информационных системах нередко в качестве внутреннего нарушителя может выступать работник (представитель) контр- агента, имеющий легальный (санкционированный) доступ в информационную систему. К примеру, автор много лет про- работал в системе обязательного медицинского страхования, где для корпоративных информа- ционных систем характерна сле- дующая особенность: к инфор- мационным системам террито- риальных фондов обязательного медицинского страхования имеют санкционированный доступ работники медицинских учреждений и страховых меди- цинских организаций, в части своих сегментов. При этом нередки случаи, когда указанный внутренний нарушитель (именно внутренний, т.к. круг субъектов ограничен, они имеют санкцио- нированный доступ к ресурсам информационной системы и под- ключаются к ней по защищен- ным каналам связи) пытается расширить свои привилегии (залезть в чужой сегмент). После определения методов проведения тестирования на проникновение можно начинать саму процедуру. На данном этапе, в случае привлечения внешних специалистов, необхо- димо осуществлять контроль за ходом работ, т.к. их проведение в ряде случаев может приводить к нарушению работоспособно- сти системы. Как правило, рабо- ты по тестированию на проник- новение включают в себя сле- дующие этапы: 1. Сбор и анализ сведений об информационной системе. На данном этапе производится ска- нирование портов исследуемого ресурса, а также идентификация доступных сервисов, служб, средств защиты. Как правило, при этом используются различные сканеры безопасности, как ком- мерческие, так и свободного рас- пространения. Проведение ска- нирования может повлиять на функционирование информацион- ной системы и в ряде случаев привести к нарушению работы ее компонентов. Поэтому на данном этапе необходимо осуществлять контроль за проведением скани- рования и быть готовым норма- лизовать работу компонентов системы в случае нарушения. 2. Идентификация уязвимо- стей. На этом этапе происходит выявление способов использо- вания уязвимостей и оценка рис- ков их использования. Перед тем как начать само тестирование на проникновение, необходимо спрогнозировать, к каким послед- ствиям может привести эксплуа- тация той или иной уязвимости. 3. Реализация атаки. Данный этап, по сути, и есть само тести- рование на проникновение, которое заключается в выпол- нении произвольного кода на стороне сервера, получении прав на чтение или запись фай- лов, получении доступа к базам данных или приватной инфор- мации. Как и на этапе сканиро- вания, на этом этапе возможен отказ компонентов информа- ционной системы. 4. Анализ хода реализации тестирования на проникновение и составление отчета. На дан- ном этапе происходит объеди- нение и упорядочивание инфор- мации, полученной в процессе тестирования. Составляется отчет, который содержит обзор- ный отчет, отчет об обнаружен- ных уязвимостях, вывод о состоянии информационной безопасности исследуемого ресурса и план по устранению выявленных уязвимостей. Заключительным этапом тестирования на проникновение является разработка плана мероприятий по устранению выявленных уязвимостей без- опасности информационной системы. Конкретные меры по устранению уязвимостей выра- батываются исходя из получен- ного по результатам тестирова- ния отчета, с учетом специфики информационной системы, поэтому конкретные рекомен- дации в этой части дать, пожа- луй, не представляется возмож- ным. Единственным предложе- нием, которое хотел бы выска- зать автор, является проведение последующего тестирования на проникновение после заверше- ния мероприятий по устранению выявленных уязвимостей, чтобы убедиться в их устранении. l • 13 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2 Автор считает, что в ближайшее время подобное требование будет введено.