Журнал "Information Security/ Информационная безопасность" #4, 2023

Интересным вариантом пентеста является тестирование Wi-Fi-сетей. Как правило, его относят к внутреннему пен- тесту, но правильнее было бы выделить это направление работы в отдельный сегмент. Ошибочно считается, что раз сеть работает только внутри офиса, то зло- умышленник не сможет получить к ней доступ. Однако на рынке есть недорогие направленные антенны, которые позво- ляют дотянуться до сети с расстояния нескольких сотен метров. Многие компании используют доста- точно оригинальный подход, когда около офиса разворачивается ложная сеть с именем (SSID), полностью совпадаю- щим с оригинальной. Телефоны прохо- дящих мимо сотрудников пытаются под- ключиться к ней и тем самым отправляют учетные данные потенциальному зло- умышленнику. Отдельно стоит учесть тестирование на стойкость к DDoS-атакам. В сегменте розничных продаж атаки данного типа идут практически непрерывно, что повы- шает интерес к этому виду тестирования. Запуская такой тест, важно понимать, что санкционированная успешная атака может нарушить работу веб-приложения и привести к потере прибыли. Поэтому лучше проводить ее на тесто- вом контуре либо в то время, когда посетителей практически нет. Рынок и выбор На текущий момент на рынке РФ представлено большое количество ком- паний, предоставляющих услуги по тестированию на проникновение. Соглас- но опросам, около 36% организаций выбирают компанию для пентеста на основании портфолио и примеров ана- логичных работ для заказчиков из смеж- ных отраслей. При выборе исполнителя необходимо проанализировать множество факторов. В первую очередь стоит посмотреть на экспертизу компании в сегменте инфор- мационной безопасности, обратить вни- мание на то, как давно организация присутствует на рынке и какие продукты собственной разработки представлены в ее портфеле. Хорошим знаком будет наличие аккре- дитации CREST, выдаваемой междуна- родным сообществом тестировщиков без- опасности. Наличие сертификата под- тверждает, что компания обладает высо- чайшими знаниями по кибербезопасно- сти, а также навыками проведения тести- рования по международным стандартам. У каждого исполнителя есть набор услуг, на которых он специализируется. Например, классический пентест, или Red Teaming, есть практически у всех. А вот тестирование объектов АСУ ТП придется поискать. Хорошо бы узнать, каков уро- вень защищенности внутри самой компа- нии, чтобы результаты пентестов не утекли в руки злоумышленников. Обязательно стоит попросить потен- циального подрядчика поделиться успешными кейсами, чтобы детально проанализировать подход исполнителя к тестированию. Процесс и организация Как выглядит алгоритм подготовки к пентесту после выбора цели и испол- нителя? Начинается все с оформления NDA. Это обязательное условие, поскольку данные о пентестах, особенно крупных компаний, весьма хорошо ценятся на черном рынке. Для чистоты тестирования лучше всего оборудование и ПО оставить "как есть". Следует обеспечить максимально естественную рабочую конфигурацию, которая не нарушает процессы в ком- пании. В ряде случаев невозможно про- водить тестирование на "боевой" систе- ме, поскольку это может нарушить кри- тически важные процессы внутри ком- пании. Тогда выделяется отдельная тестовая среда с идентичными характе- ристиками. Перед проведением пентеста необходимо понять, готова ли органи- зация выделить бюджет и ресурсы для проведения после пентеста меро- приятий с целью повышения эффек- тивности защищенности компаний, потому что получить отчет о резуль- татах и убрать их в ящик – путь в никуда. Многое зависит от выбранной страте- гии тестирования. В режиме "белого ящика" у исполнителя есть вся необхо- димая информация, которую предостав- ляет тестируемая организация. Это зна- чит, что как минимум ИБ-служба в курсе происходящего. Возможен вариант пентеста в режиме red team vs blue team. В этом случае "синяя" команда пытается предотвра- тить вторжение и обнаружить злоумыш- ленника, при этом зная время и при- мерное направление атаки, чтобы иметь возможность подготовиться. Наиболее чистым вариантом тестирования (когда основной задачей является определе- ние самого факта проникновения и воз- можных направлений атак) считается Red Teaming, при котором служба без- опасности не знает о возможном втор- жении. Условия успеха Необходимо четкое понимание того, что мы хотим тестировать. В идеале нужно делать пентест по всем направле- ниям, но стоит учитывать, что это дорого стоит и требует немало времени. Нельзя игнорировать внутреннего заказчика теста: если руководителю организации первостепенна сама воз- можность проникновения, то департа- менту информационной безопасности нужна более детальная информация (как быстро злоумышленник может реа- лизовать недопустимое событие, какие уязвимости использовал, какие инстру- менты задействовал, к какой информа- ции был получен доступ). Бывают случаи, когда отчет прежде всего нужен сотрудникам департамента информационных технологий и в нем необходимо отразить, какое ПО в зоне риска, а также как это можно исправить, не нарушая функционирование всех про- цессов. Вне зависимости от задач пентеста необходимо понимать, что процедура тестирования на проникновение ни при каких условиях не может на 100% вос- создать атаку реального злоумышлен- ника. Действия пентестера ограничиваются Уголовным кодексом, он не может ата- ковать личные телефоны, ноутбуки, не может применять угрозы и шантаж при социальной инженерии. Как показывает практика, злоумышленник в среднем находится около четырех дней внутри периметра, прежде чем реализовать недопустимое событие. А значит, используя современные средства, SOC-команда должна успеть обнаружить атаку и провести действия для ее предотвращения. Это позволяет оценить компетентность службы ИБ. Согласно статистике компании Posi- tive Technologies, хакеру в 96% случаев удается проникнуть внутрь периметра организации, а в 89% случаев удается реализовать недопустимое событие с разной степенью ущерба. Пентест с большой долей вероятности покажет слабые места, которые будут требовать немедленной корректировки. • 67 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru