Журнал "Information Security/ Информационная безопасность" #3, 2024

вения в информационные системы и реализуются другие шаблоны поведения потенциального злоумышленника. Для большинства компаний этих мето- дов будет достаточно, чтобы выявить потенциальные угрозы для организации. Бывают редкие случаи, когда заказчики могут (или готовы) позволить себе повы- шение трудозатрат на пентест либо под инфраструктуру компании требуется уни- кальный инструментарий или нестан- дартные методики, но в большинстве случаев действия пентестеров доста- точно консервативны. Непрерывность пентеста "Ручной" пентест может выполняться достаточно редко, в большинстве слу- чаев это один раз в полгода или год. Но в реальности такие работы нужно про- водить постоянно. Причин для этого несколько: 1. Постоянные изменения в инфра- структуре и настройках информационных систем. Иногда применение новых настроек может привести к тому, что хакерская техника, которая при прошлом пентесте не выполнялась, теперь стала выполняться. 2. Частое появление новых уязвимо- стей, которые появляются не один раз в полгода. Кроме выявления потенциаль- ных уязвимостей в сети (можно сделать сканером уязвимостей), нужно прове- рить, возможна ли эксплуатация данной уязвимости и возможно ли в результате этой эксплуатации развить атаку дальше в инфраструктуре. Опыт подсказывает, что новые уязвимости после выхода эксплойта начинают активно эксплуати- роваться в атаках в первый же месяц. 3. На некоторых шагах пентеста могут выявляться "слабые" пароли учетных записей или повышенные привилегии для отдельных учетных записей. Так как эти ситуации могут возникать в любой момент времени, такие провер- ки также нужно проводить на постоянной основе. Все проверки, описанные выше, нужно выполнять на постоянной основе. То есть должна быть возможность выполнять фактически непрерывный пентест инфраструктуры. Задача хоро- шая, но не решаемая без средств авто- матизации. Вопрос автоматизации Так как часть операций в рамках теста на проникновение можно автоматизи- ровать, то возникает вопрос: а можно ли вообще выполнять такие тесты в автоматическом режиме и без привлече- ния специалистов из внешних команд? Полностью исключить выполнение "руч- ных" работ не получится, но выполнять большинство действий в автоматическом режиме сейчас вполне возможно. На рынке есть решения, которые позволяют выполнять пентест в автоматическом режиме и покрывают большинство повторяющихся и рутинных операций, выполняемых командами пентеста. До недавнего времени на российском рынке было представлено израильское, а в этом году российские разработчики представили и отечественное решение данного класса. Эти решения позволяют в автомати- ческом режиме выполнять ряд сценари- ев, выполняемых в рамках "внутреннего" теста на проникновение. Такие системы позволяют устранить ряд недостатков "ручных" тестов: l автоматизация поможет максимально покрыть инфраструктуру; l автоматические сценарии могут использовать больше техник, чем чело- век в рамках своих работ; l можно полностью повторить выпол- ненный тест для проверки исправлений недостатков; l можно делать тест на проникновение намного чаще и в то время, когда вам это нужно, без привлечения внешних команд, и фактически решить задачу непрерывного пентеста. Как результат появляется возможность проводить постоянную оценку защищен- ности всей инфраструктуры компании (см. рис. 1). Безусловно, системы автоматического тестирования на проникновение не могут полностью заменить человека, и место для "ручного" теста на проникновение все равно остается, ведь нетривиальные действия автомат не сможет выполнить. Но при этом автоматизация основных и наиболее часто использующихся тех- ник позволит существенно повысить защищенность инфраструктуры и на постоянной основе отслеживать воз- можные проблемы и недостатки с точки зрения безопасности сети. А для спе- циалистов по тестам на проникновение остаются более сложные сценарии. В случае наличия внутренней коман- ды по тестам на проникновение авто- матизация позволяет существенно повысить эффективность таких команд и избавить их от выполнения рутинных операций. Первая российская платформа автоматического теста на проникновение Российский разработчик платформ симуляции кибератак компания CtrlHack представила свой новый продукт – CtrlHack APT Bezdna. APT Bezdna – это комплекс автома- тического тестирования на проникно- вение. Продукт предназначен для про- ведения тестов внутренней инфра- структуры. В разработке принимает участие команда пентестеров с боль- шим опытом выполнения тестов у крупных корпоративных заказчиков. Свой опыт и глубокую экспертизу они переносят в сценарии, которые выпол- няются в рамках автоматических тестов. Комплекс позволяет одним кликом запустить тест с максималь- ным покрытием задач. По итогам выполнения теста предоставляется детальный отчет с рекомендациями по устранению выявленных недостат- ков (см. рис. 2). Результаты выпол- ненного теста можно использовать для проведения последующих тестов и для приоритизации выявленных уязвимостей. l • 61 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ДИАЛОГНАУКА см. стр. 70 NM Реклама Рис. 1. Карта атаки при пентесте от CtrlHack APT Bezdna Фото: ДиалогНаука Рис. 2. Обнаруженные уязвимости и рекомендации по их устранению в интерфейсе CtrlHack APT Bezdna