Журнал "Information Security/ Информационная безопасность" #2, 2020

Сканеры безопасности, например, обычно генерируют отчеты, насчиты- вающие сотни страниц с информацией о выявленных уязвимостях, среди кото- рых практически невозможно выделить те, которые действительно представляют наибольшую опасность для организации. Услуги по тестированию на проникнове- ние обычно занимают много времени и дорого стоят. При этом они дают заказчику "текущий срез", актуальный только в один момент времени. Для устранения ограничений тради- ционных методов анализа защищенно- сти на рынке информационной безопас- ности появился новый класс решений для автоматизации тестирования на про- никновение. В этой статье мы детально раскроем описанные проблемы и рас- скажем о платформе автоматизации пентеста – Pcysys PenTera. Установка патчей – не панацея от угроз Вслед за тем как компании внедряют новые информационные системы, коли- чество потенциальных уязвимостей, которым они подвержены, растет с экс- поненциальной скоростью. Беглый взгляд на базу данных уязвимостей National Vulnerability Database 1 показы- вает, что в последние годы произошел резкий всплеск их количества, особенно в приложениях с открытым исходным кодом. Публично доступные эксплойты для этих уязвимостей – лишь наиболее простые из инструментов хакера. Приоритизация и закрытие уязвимостей для крупной компании может оказаться титанически сложной задачей. В органи- зациях, где серьезно относятся к вопросам ИБ, обычно есть выделенная команда, специализирующаяся на выявлении и устранении уязвимостей, однако высоки шансы того, что сотрудники не успеют охватить их все. Установка патчей, как правило, приоритизирована: большинство организаций фокусируют внимание на устранении уязвимостей, имеющих наи- высший теоретический уровень критич- ности. Даже если вы успеваете ликвиди- ровать уязвимости с уровнем опасности "критичная" и "высокая", скорее всего вы отталкиваетесь от статистической шкалы CVSS (Common Vulnerability Scoring System 2 ). Эта универсальная шкала по умолчанию не учитывает контекст вашей сети, приложений и массивов данных, поэтому оценка степени критичности ста- тичных уязвимостей на основе CVSS, как правило, не является полностью реле- вантной для конкретного окружения и носит теоретический характер. Нет сомнений, что обнаружение уязви- мостей и установка патчей – жизненно необходимые задачи для сокращения поверхности атаки. Но даже после уста- новки всех обновлений вы все еще можете быть взломаны. Неочевидные точки входа Существует ряд значимых аспектов, которые остаются без внимания систем управления уязвимостями. К ним отно- сятся так называемые динамические уязвимости, связанные с небезопасным пользовательским поведением, небез- опасной конфигурацией инфраструкту- ры, ошибками в настройках внедренных средств защиты, нестойкими паролями и недостаточным контролем за приви- легированным доступом. Как правило, хакерская атака начина- ется через эксплуатацию динамических уязвимостей. Точкой входа в сеть может служить рабочая станция, куда зло- умышленник успешно проникает, напри- мер, с использованием техник социаль- ной инженерии. Попав внутрь сети, ата- кующий изучает и оценивает ее, выпол- няет горизонтальное продвижение, используя доступные средства для достижения конечной цели своей атаки. Для борьбы с наиболее сложными целенаправленными атаками целесооб- разно прибегать к методу оценки эффек- тивности применяемых средств защиты 30 • ТЕХНОЛОГИИ Автоматизация пентеста: на шаг впереди хакера ффективная защита от угроз информационной безопасности возможна только при комплексном подходе. Одним из его ключевых элементов является своевременное обнаружение и устранение уязвимостей. Традиционно решение этих задач осуществляется двумя способами: с использованием специализированных средств для сканирования уязвимостей (так называемых сканеров безопасности) или посредством тестирования на проникновение (пентеста) с привлечением высококвалифицированных специалистов, которые могут взглянуть на систему защиты организации “глазами хакеров". Однако, помимо очевидных преимуществ, традиционные методы имеют и ряд ограничений. Э Валерий Филин, технический директор CITUM Павел Стеблянко, генеральный директор CITUM Виктор Сердюк, генеральный директор АО “ДиалогНаука" 1 https://nvd.nist.gov/ 2 https://www.first.org/cvss/

RkJQdWJsaXNoZXIy Mzk4NzYw