Журнал "Information Security/ Информационная безопасность" #4, 2023

Стартовый аудит с продолжением Комплексный подход в отношении ИБ начинается с аудита, который включает в себя набор процессов, позволяющих получить объективную оценку уровня защищенности ИТ-ландшафта. Считается, что по результатам аудита компания имеет на руках всю необхо- димую информацию для построения качественной системы ИБ, – это только теория. А как на практике проверить, что принятые меры были успешными? На помощь приходит пентест, создаю- щий симуляцию действий злоумышлен- ников для реализации недопустимых событий внутри ИТ-периметра пред- приятия. Решение о проведении пентеста, как правило, лежит на руководителе компа- нии либо на департаменте информа- ционной безопасности. Отдельно стоит отметить финансовую отрасль, где, согласно положению Банка России (683-п), все кредитные организации ежегодно должны проводить тестирование на проникновение в объекты инфраструктуры. Следуя положению 719-п, такое тестирование могут проводить только сторонние организации, имеющие соответствующую лицензию. Если обратиться к 21-му приказу ФСТЭК, операторы персональных данных обязаны проводить анализ защищенности информационных систем не реже одного раза в три года. Пентест – одна из стандартных процедур этого анализа. Виды и цели Проведение тестирования имеет две основные цели: l продемонстрировать уязвимости объ- екта тестирования; l повысить уровень защищенности. Указать на уязвимости необходимо, когда требуется выделить бюджет на новые средства и найм новых сотрудни- ков, чтобы скорректировать текущую линию защиты, сделав ее более эффек- тивной. Пентесты могут проводиться: 1. В режиме "белого ящика" – когда исполнитель полностью владеет инфор- мацией об архитектуре, имеет доступ администратора и все необходимые при- вилегии. Данный метод дает полную информацию об объекте с точки зрения ИБ, но не дает оценки показателя взло- мостойкости. 2. В режиме "черного ящика" – когда тестировщик не владеет никакой инфор- мацией. В данном случае исполнитель находится на одном уровне с потенци- альным злоумышленником, что позво- ляет наиболее точно смоделировать ситуацию взлома из внешнего пери- метра. 3. Промежуточный вариант – режим "серого ящика". В этом случае пентестер имеет непривилегированные права, но при этом находится внутри периметра. Это достаточно универсальный метод, позволяющий найти ошибки из-за непра- вильной структуры или неверно настроенных приложений. Что тестируем? На этом этапе необходимо определить объекты тестирования. И здесь перво- очередным считается анализ сетевого периметра, когда пентестер пытается проникнуть внутрь компании и скомпро- метировать данные. У опытного исполнителя не будет про- блем с этим этапом. В 85% случаев получение доступа происходит с помо- щью методов социальной инженерии. Тестирование с использованием Sha- dow IT – это новое слово в области кибербезопасности. Оно подразумевает под собой объекты инфраструктуры, выпавшие из поля зрения администра- торов. Например, в компании существо- вала IP-телефония, которая давно не использовалась, но при этом оставалась активной и включенной в сеть. Все уже давно забыли о ней, кроме злоумыш- ленника, которому удалось получить доступ в систему компании через уязви- мости. Внутренний пентест симулирует дей- ствия злоумышленника внутри инфра- структурного объекта. В этом случае перед тестировщиком ставят опреде- ленную цель, например завладеть информацией или внести определенные изменения в финансовые программы. Большой популярностью пользуется тест веб-приложений. Если ранее сайты в Интернете представляли собой ста- тичные страницы, то сейчас это полно- ценные приложения, через которые можно получить доступ в компанию: к базе клиентов, к персональным и пла- тежным данным. В текущем году был отмечен рост количества атак на веб-приложения – с 17 до 22%, относительно общего числа атак. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло более чем в два раза. Тестирование одного сайта занимает гораздо больше времени, чем анало- гичные действия по другим направле- ниям, особенно если используется боль- шое количество интерактивных элемен- тов. При тестировании проверяется не только техническая составляющая, но и работа самой логики приложений. Зача- стую можно получить доступ к служебной информации, воспользоваться дополни- тельными скидками и провести другие манипуляции, лишь слегка модифици- ровав запрос к серверу. Например, был случай, когда в веб- приложении одного из банков удалось найти уязвимость, которая позволяла переводить другим клиентам отрица- тельные суммы, тем самым пополняя свой счет. К счастью, это быстро заме- тили и устранили. 66 • УПРАВЛЕНИЕ Взлом во благо: пентест и его место в ИБ-процессах рганизация и поддержка должного уровня ИБ требует комплексного подхода. Одна из его важнейших составляющих – “проверка боем”, или пентест, – тестирование надежности периметра защиты через попытку проникновения. О Антон Соловьев, руководитель направления Positive Technologies компании MONT