Перейти на Sec.Ru
Рейтинг@Mail.ru

24 февраля 2015

Тест на проникновение: На что обратить внимание

Евгений Соболев
Генеральный директор
«Лаборатории Практической Безопасности»,
http://itpsl.org/

 

Введение

В данной статье рассматривается круг вопросов, связанных с тем,

  • на какие моменты стоит обратить внимание при выборе компании для аудита IT-инфраструктуры на предмет информационной безопасности,
  • какие в этом существуют «подводные камни»,
  • как убедиться в компетентности аудитора,
  • и каковы наиболее распространенные заблуждения в этой сфере.

Но сначала нужно определиться с тем, что же, собственно, такое «тестирование на проникновение», чем оно отличается от «Аудита ИБ», каковы плюсы и минусы этого процесса, и кому оно действительно является необходимым.

 

Что это такое и кому это надо?

Тестирование на проникновение, иначе «пентест» – это метод тестирования защищенности IT-инфраструктуры путем моделирования действий злоумышленника. Его суть заключается в санкционированной попытке преодолеть существующие средства защиты информации, и получить доступ к охраняемой информации. Иначе говоря, речь идет о санкционированной попытке взлома исследуемого объекта. Объектом исследования может быть сервис, сервер или компьютерная сеть. Иногда, в качестве объекта для тестирования на проникновение может выступать и сама организация в виде ее офиса или здания, где имеется контролируемая зона, и хранится защищаемая информация. В таком случае, пентестер будет пытаться проникнуть в охраняемую зону физически, будет пытаться подключиться к проводам, использовать методы социальной инженерии на сотрудниках компании для получения нужной ему информации или нужного поведения.

Все это зависит от того, что включено в тестирование на проникновение. В зависимости от желаемых «компонентов», пентест может выглядеть совершенно по разному. В одном варианте, к Заказчику придет аудитор, который будет молча сидеть за компьютером, в другом варианте, группа пентестеров будет физически «атаковать» офисное здание, скрыто клонируя пропуска сотрудников, вышедших на улицу покурить или входящих\выходящих из здания, в третьем варианте, вообще никто не придет, и Заказчик может так никогда не увидеть пентестера.

Тестирование на проникновение принято делить по следующим критериям:

  • По типу исходной информации:
  • BlackBox, «черный ящик».

В данном варианте, пентестер располагает только общедоступной информацией о цели исследования, её сети и параметрах. Данный вариант максимально приближен к реальной ситуации. Иногда, в качестве исходных данных для тестирования исполнителю сообщается только имя компании или ее сайт, а всю остальную информацию, такую как  используемые компанией IP-адреса, сайты, точки выхода офисов и филиалов компании в сеть Интернет, исполнителю придётся выяснять самому. Плюс данного варианта в том, что идет максимально реалистичная имитация действий моделируемого злоумышленника. Минус в том, что данный вариант занимает больше времени для качественного результата, что не всегда рационально с точки зрения соотношения найденных уязвимостей к затраченному времени и ресурсам. Ведь, в конце концов, реальный злоумышленник не будет ограничен временем и, рано или поздно, соберет всю необходимую для него информацию, а пентестер, хоть и моделирует злоумышленника, ограничен по времени.

  • WhiteBox

WhiteBox – полная противоположность предыдущему варианту. В данном случае, исполнителю предоставляется максимум необходимой для него информации, вплоть до административного доступа на любые сервера. Данный способ позволяет получить наиболее полное исследование уязвимости объекта, и при этом затратить намного меньше времени, чем при BlackBox. Например, потому что при WhiteBox исполнителю не придётся тратить время на сбор информации, составления карты сети, и другие прелюдии перед началом тестирования, а так же сократит время самого тестирования, т.к. часть проверок просто не придется делать. Плюс данного метода в более полном и комплексном подходе к исследованию. Минус в том, что это менее приближенно к ситуации реальной атаки злоумышленника, а также в том, что при аудите большой компании с тысячами рабочих станций и серверов получается достаточно большой объем работы, требующий больших трудозатрат и имеет соответствующую стоимость.

  • GrayBox

GrayBox – это средний вариант  между WhiteBox и BlackBox, когда исполнитель действует по варианту BlackBox и периодически запрашивает информацию у Заказчика, для того чтобы сократить время исследования или более эффективно приложить свои усилия. Такой вариант самый популярный, так как позволяет провести тестирование без траты лишнего времени на сбор информации, и больше времени уделить поиску уязвимостей, а также плюс в том, что данный вариант остается достаточно приближенным к реальной ситуации, и в том, что он всё-таки более глубокий, чем blackbox. Минус в том, что этот вариант не такой полный, как WhiteBox.

 

  • По направлению:
    • Внутренний пентест – когда имитируются действия инсайдера, злоумышленника, являющегося сотрудником Вашей компании.
    • Внешний пентест – когда имитируются действия внешнего злоумышленника, действующего  удаленно.

 

  • С извещением службы ИБ и без.

Первый вариант, когда служба безопасности, системные администраторы в курсе проводимых работ. А второй вариант позволяет сымитировать внезапную хакерскую атаку, и проверить не только применяемую техническую защиту, но и действия сотрудников в этой ситуации.

 

Чем отличается тестирование на проникновение от технического аудита ИБ\анализа защищенности?

Анализ защищенности, технический аудит, как правило, имеет своей целью выявить как можно больше уязвимостей. При этом не происходит практической демонстрации, что именно эксплуатация данной уязвимости даст злоумышленнику. Как показывает практика, это очень сильно затрудняет понимание опасности уязвимости Заказчиком и его сотрудниками, даже если в описании уязвимости текстом приводятся возможные последствия.

Также анализ защищенности, технический аудит и близко не показывают возможности комбинирования уязвимостей «вглубь». Дело в том, что каждая уязвимость открывает  для злоумышленника пространство для обнаружения новых уязвимостей, которые аудит не затрагивает. Например, аудит выявил слабый пароль от непривилегированной учетки на хосте, где нет какой-либо конфиденциальной информации. Результатом аудита будет описание данной уязвимости и минимальные последствия от этого. В то время как для тестирования на проникновение это только начало.

С помощью данной учетной записи, пентестер применит методы социальной инженерии, направленные на системного администратора компании или воспользуется способом повышения привилегий в системе, обнаружить которые при внешнем аудите невозможно. Получив права администратора на этом бесполезном хосте, злоумышленник начнет анализировать LSA Secret, например, и получит учетные данные других пользователей, если не самого администратора домена. Или же пентестер сам может спровоцировать удаленный или локальный заход на данный компьютер других пользователей, например, системного администратора, сымитировав техническую неполадку и создав тикет.

Тем или иным способом пентестер получает доступ уже к другим хостам, уже с конфиденциальной информацией. А на других хостах ему становятся доступны почтовые аккаунты организации и другие плюсы, которые можно использовать в своих “корыстных” целях. И так с каждым новым скомпрометированным хостом злоумышленник получает все больше власти и вариантов для последующих атак, что спрогнозировать на этапе аудита невозможно. И даже если аудитор попробует спрогнозировать далеко идущие последствия, его слова не будут особо серьезно восприниматься, т.к. для всего описанного нужно, чтобы сошлось множество условий, и, вообще, все «страшилки» выглядят весьма условно. И уж точно ни один администратор не признается, что мог бы попасть в какую-либо ловушку, ведь он профессионал в IT.

Однако и в тестировании на проникновение есть свои минусы. Классическим условием выполнения тестирования на проникновение является доступ к защищаемой информации. Мол, доступ смогли получить – пентест успешен, не удалось – пентест провалился. Поэтому не каждый пентест выявит максимум уязвимостей. Например, вы подпишетесь на пентест, а исполнитель зашлет на всех сотрудников Вашей компании фэйковые письма с вредоносным вложением, например, от имени гендиректора компании. Антивирус, естественно, не сработает, т.к. вирусописатель никогда не выпустит свое детище не убедившись, что антивирусы его не видят. Один или два сотрудника купятся и откроют вложение. Через их компьютеры пентестеры и получат доступ к защищаемой информации и выполнят пентест. Формально контракт выполнен. Фактически, никто даже не исследовал внешний периметр Заказчика на предмет уязвимостей.

Суть в том, что исходя из цели пентеста, не обязательно стремиться найти максимум уязвимостей, достаточно одной, но подходящей. С моей точки зрения, это категорически неправильно, поскольку настоящий пентест должен сочетать в себе плюсы, как аудита, так и самого тестирования. Иначе говоря, он должен представлять собой некую смесь аудита ИБ и тестирования на проникновение, когда ищется максимальное количество уязвимостей и демонстрируется несколько векторов действия злоумышленников. Такой вариант дает по-настоящему комплексный подход и эффективный результат.

Кстати, именно поэтому многие специалисты путаются в названиях «Аудит ИБ» и «тестирование на проникновении». Сейчас грань между ними весьма символическая: пентест включает в себя и, собственно, пентест и аудит информационной безопасности.

 

Когда тестирование на проникновение нужно?

Пентест не является необходимым в том случае, если

  1. Нужна независимая оценка эффективности применяемых в компании средств защиты информации.
  2. Стоит задача приведения действующей сети в соответствие каким-либо стандартам информационной безопасности или законодательству.
  3. Ведется подготовка технического задания на проектирование и разработку системы защиты информации.
  4. Требуется обоснования инвестиций на развитие системы обеспечения информационной безопасности.
  5. Производится расследование компьютерных инцидентов.

 

Как выбрать аудитора?

Для того, чтобы выбирать компанию для проведения тестирования на проникновение, нужно четко представлять, что такое это тестирование на проникновение, и что оно вам дает, и чего не дает. Часто встречаются одни и те же заблуждения среди Заказчиков, которые я постараюсь пояснить.

Заблуждения:

  • Неполный аудит

Одним из главных принципов тестирования на проникновение является полнота охвата тестирования и максимальная реалистичность действий злоумышленника. Количество серверов и рабочих станций, сетевого оборудования, сегментов сети, численность сотрудников и разнообразие применяемых IT средст и решений на практике настолько велико, что проводить анализ всех и каждого трудозатратно.

Тогда и возникает первое заблуждение – «метод аудиторской выборки».

Метод аудиторской выборки – это когда проводится исследование не всей инфраструктуры компании, а ее части, состоящей из определенным образом отобранных элементов. На основе исследования выбранных элементов делается вывод о защищенности периметра всей компании.

 Это, естественно, чревато последствиями. Компьютерная сеть – это как живой организм со своими процессами и связями, который нельзя рассматривать в отрыве от других его частей. Это то же самое, как судить о здоровье человека по его руке или сердцу. Такой подход может выявить некоторые недочеты, но это не значит, что остальная часть организма здорова, и завтра не повлияет на весь организм в целом. Также и в компьютерной сети, компрометация забытого ненужного принт-сервера, который не хранит абсолютно никакой конфиденциальной информации, может обернуться захватом контроля над всем доменом сети. Неважно, какой средний уровень уязвимости проверенных элементов сети, ведь парой для критического проникновения достаточно всего одной уязвимости не попавшей в выборку аудитора.

Часто, в компаниях все рабочие станции централизованно установлены и настроены, что делает их копиями друг друга, и что приводится как аргумент для аудиторской выборки. Мол, они все одинаковые, зачем проверять одно и то же несколько раз. При этом забывается, что, в конечном итоге, за рабочей станцией сидит человек, который уникальный в своей мотивации и своих поступках. И может вносить изменения в компьютер начиная от расшаривания папок и системных дисков в сеть, если политики безопасности не строгие, заканчивая подключением домашнего ноутбука к корпоративной сети, или выставлением себе прав локального администратора через загрузочный диск, и сброс биоса отверткой при строго настроенной политике безопасности домена.

 

  • Чем больше инструментарий, тем лучше

Перед началом пентеста почти каждый заказчик просит выслать список используемого инструментария(ПО) при аудите. Почему-то пошло такое заблуждение, что чем больше используется инструментов, тем лучше. Очевидно, такие заказчики при выборе аудиторской компании сравнивают, у кого больше этот список, и на основе этого делают свой выбор. Хотя, ничего общего между списком инструментария и качеством работ, по большому счету, нет. Вполне успешно можно выполнить какие-то работы всего одним инструментом, в то время как другой аудитор для этих же самых работ будет использовать одновременно три других инструмента.

И это абсолютно ни о чем не говорит, так как дело не в инструментарии, а в аудиторе и его методиках. Не зря говорят, что «ручной» аудит является более качественным и дорогим, так как позволяет находить логические уязвимости и уязвимости, которые не попадают под «шаблоны» автоматических средств исследования. Так что многие исследования можно проводить вообще без инструментария, или с одним-двумя простыми элементами.

В конце концов, используемый инструментарий, это не более чем дело привычки каждого аудитора. Кто-то считает Burp самым удобным инструментом и использует только его, кто-то другие программы. Я, например, часто пользуюсь ProxyStrike, о существовании которого знает достаточно мало людей, особенно среди Заказчиков. Раньше использовал такую экзотическую и уникальную тулзу (программу – прим. Ред.), как X-Scan для массового брута (брутфорс-атаки, т.е. взлома системы – прим. Ред.), сейчас я написал свой более продвинутый и заточенный под специфику пентеста аналог, которого нет вообще ни у кого. Мой список инструментария всегда вызывал у Заказчиков интерес, ведь, помимо общеизвестных инструментов, я использовал и те, которые они не видели в списках других аудиторов.

При этом также всегда следует помнить, что, в конце концов, аудиторы тоже всё понимают, и специально для таких Заказчиков у них загодя подготовлен очень длинный и разношерстный список применяемого инструментария. И, кстати, совсем не факт, что он будет применен в вашем аудите, или даже что вообще установлен у аудитора.

 

  • Чем больше людей, тем лучше

Еще одно аналогичное заблуждение связано с тем, что чем больше число человек участвует в аудите, тем лучше. Не могу не согласиться: это выглядит очень эффектно, особенно когда к заказчику приходят разом 10 человек и начинают что-то делать, погрузившись с головой в компьютеры и бумажки. Однако, если пригласить вместо этих 10 человек какого-нибудь одного авторитета вроде Криса Касперски (при условии, естественно, что у Заказчика есть на это средства), то результаты его работы будут в разы качественней, чем всей упомянутой выше бригады.

Иначе говоря, не в количестве суть, а в качестве и опыте аудитора(ов). К тому же, многие работы невозможно выполнять одновременно несколькими людьми сразу. Это касается, как специфики применяемых методов, например снифинга и брута, так техническим ограничением пропускной способности сети и производительностью исследуемых серверов. Многие работы становятся нерациональными, если их делает несколько человек одновременно из-за того, что каждый аудитор повторяет действия другого. Эффективное количество аудиторов зависит от состава работ и сжатости сроков на проведение работ, а также от опыта и умений аудиторов. Чем больше опыт аудитора, тем, благодаря этому, эффективней и быстрей он может выполнять свою работу. Обычно рациональное количество аудиторов – это 2-3 технических эксперта. Причем и 3 человека это тоже уже весьма много. А некоторых ситуациях вполне бывает достаточно одного, но опытного специалиста.

 

  • Сертификаты

Стоит не забывать, что сертификаты лишь подтверждают наличие определенных навыков у аудитора, но не определяют их. Т.е. сертификаты, это скорее признак прохождения определенной программы, которая подразумевает наличие у аудитора определенных навыков. Но из этого вовсе не следует, что только сертифицированные специалисты имеют опыт и навыки пентестерской деятельности. Я не один раз встречал такую ситуацию, когда в штате есть сотрудник специально для сертификатов, а проведением аудитов занимаются совсем другие люди, как правило, менее оплачиваемые. В подавляющем большинстве они – самоучки, которые заработали первоначальный опыт собственным энтузиазмом и практикой.

Думаю, не стоит объяснять, что ни в одном институте не учат практическому взлому актуальными методами. Да и дело не в сухих знаниях и опыте, а в особом стиле мышления. Хакер-пентестер не может быть таковым только на работе — это образ мышления, и оно откладывает отпечаток на всю жизнь человека. Такие люди сразу же ищут возможность и способ обойти любое ограничение, которое встречают, касается ли сказанное компьютеров или жизненных ситуаций. Поэтому подобных специалистов нужно искать не в институтах (хотя, конечно, они присутствую и там), а в комьюнити или андерграунде.  Я знаю всего несколько компаний, которые целенаправленно вылавливают таких людей.

Если компания активно прикрывается сертификатами, это не означает обязательный высококачественный результат. 

 

  • Профессионализм в имени компании

Всегда стоит помнить, что любая компания, это, прежде всего, люди, и аудит проводят именно они. Разве что официальный статус юридического лица может предоставить какие-либо дополнительные гарантии. Поэтому судить о профессионализме компании стоит в первую очередь именно по ее сотрудникам.

Для многих может оказаться открытием, но при заказе аудита у разных компаний и за разные деньги исполнителями могут оказаться одни и те же люди. Дело в том, что хороших специалистов ограниченное количество, и зачастую они работают по субподрядам сразу на насколько компаний. Также мало найдется компаний, которые будут в состоянии загрузить каждого своего специалиста пентестами по максимуму. Поэтому работая в одной компании, в свободное время они берутся за интересные для них работы.

Я не встречал ни одного пентестера, который отказался бы от лишнего интересного проекта, ведь для них это не просто средство заработка, а прежде всего, возможность профессионального роста и накопления уникального опыта. Ведь если долгое время не практиковаться, то имеющиеся навыки быстро теряют свою актуальность и современность. Практическая информационная безопасность, в особенности методы нападения и аудита, быстро развивающаяся сфера, в которой очень легко отстать от "тренда".

Совсем не редки случаи, когда за пару месяцев в компании может смениться весь состав аудиторов, например, их переманили на более интересные или выгодные условия в другие компании. Поэтому стоит каждый раз обращать внимание на непосредственных исполнителей, даже если компания очень известная или вы с ней уже когда-то работали. Увы, текучка кадров в нише тестирования на проникновение, традиционно большая. Не всем компаниям удается избежать этого, но такие есть. Отсюда вывод — прежде всего, всегда стоит обращать внимание именно на людей.

 

  • Бесплатные аудиты от интеграторов

Многие интеграторы предоставляют тестирование на проникновение бесплатно. Это всегда используется в качестве обоснования необходимости внедрения того или иного решения (а лучше нескольких сразу). Ведь интеграторы получают свой основной доход от внедрения чужих решений, и тестирование на проникновение для них прото инструмент продаж. Часто исполнителями таких пентестов выступают нанятые студенты с окладом в 20-25 тысяч рублей, получающие доступ к вашей конфиденциальной информации, стоящей миллионы рублей или долларов.

Конечно, часто и среди таковых встречаются очень толковые парни, которые ответственно подходят к своей работе. Поэтому не стоит отказываться от бесплатного пентеста, как дополнительного бонуса интегратора, возможно и он окажется в какой-то степени не бесполезным. Но если инициаторами технического аудита ИБ выступаете вы сами являетесь, то вне всякого сомнения лучше обратится в компанию, которая именно на этом и специализируется.

 

  • Аудит выявит все уязвимости априори

Еще одним часто встречающимся заблуждением (в особенности у тех, кто, как правило, еще ни разу не проводил у себя аудит ИБ) являентся уверенность в том, что пентест выявлит 100% уязвимостей и даст пожизненную гарантию «невзламываемости» информационной системы компании.

Это, безусловно, не так. Чтобы объяснить, в чем дело, нужно сначала разобраться в том, что такое уязвимости в принципе, и откуда они появляются. В данном случае, я буду рассказывать не об ошибках конфигурации, а об уязвимостях, возникающих при разработке программного обеспечения.

Все ошибки растут из доверия к входным данным, которые, как правило, поступают в приложение от пользователя. Суть ошибки в том, что программист рассчитывает, что во входные данные функций, которые он пишет, будут попадать соответствующие тем данные. Если в приложение приходит сетевой пакет определенного стандарта, то предполагается, что размер пакета по этому стандарту будет максимум «Х». Соответственно этому прописываются его обработка и логика программы.

Но так бывает не всегда. Злоумышленник намеренно может создать неправильный пакет, который заставит программу программиста работать не так, как тот планировал. Например, если предполагается, что в поле «номер телефона» пользователь будет вбивать свой номер телефона, и оценивается, что длина номера телефона будет составлять не более 10 символов, а злоумышленник вместо номера телефона вводит 300 символов буквы «а», то, казалось бы, небезопасно написанное приложение завершается ошибкой. И такой результат станет сигналом злоумышленнику, что приложение уязвимо, так как отсутствует проверка на корректную длину номера телефона.

И теперь он уже будет целенаправленно заниматься тем, что станет подбирать такие хитрые данные, которые нужно ввести вместо буквы «а», чтобы приложение вместо того, чтобы закрыться с ошибкой, выполнило нужное злоумышленнику действие без ошибки и завершения работы приложения. Подобные уязвимости называются уязвимостями переполнения буфера.

Конечно все, что я только что описал выше, весьма условно, но вполне достаточно, чтобы объяснить общий принцип подобных уязвимостей. Для компрометации приложения достаточно всего одной небольшой уязвимости, а учитывая огромный размер современных приложений и операционных систем, упустить такую уязвимость отнюдь не сложно. Особенно, если учесть, что совсем недавно не было такого понятия, как безопасное программирование.

А сейчас стать программистом совсем легко, большинство программистов даже не имеют представления, как исполняется их код в процессоре компьютера. Отсюда растет и непонимание того, как нужно безопасно разрабатывать приложение: ведь программист не понимает, что происходит уровнем ниже его языка программирования. Благодаря развитию языков программирования и популяризации программирования в целом, многие уже в школе начинают писать программы и, к сожалению, не всегда удосуживаются разобраться, как работает компьютер, который исполняет их код.

Сюда стоит добавить то, что многие приложения и операционные системы не пишутся каждый раз с нуля, а основываются на каких-либо ранее написанных библиотеках кода. Поэтому, даже если написать абсолютно безопасный и корректный программный код для продукта, еще не факт, что он будет неуязвим — уязвимость может быть в одном из сторонних компонентов, который используется приложением.

Именно так и было, в частности, с Heartbleed. Эта одна из самых распространенных библиотек, которая используется повсеместно. И когда всплыла эта уязвимость, оказалось, что уязвимыми оказались миллиарды приложений и устройств, многие из которых, так не получится исправить, так как в них отсутствует механизм обновления. В первую очередь, в частности, это касается разнообразных устройств и приборов.

Так вот, чтобы провести тестирование на проникновение, которое выявит абсолютно все возможные уязвимости, нужно проводить огромные исследования абсолютно всех компонентов, вплоть до обработки процессором единиц и нулей, а также и самих прошивок процессоров. Т.е. если нужно убедиться в безопасности ftp-сервера, нужно исследовать массу библиотек, драйверов и саму операционную систему. И все это очень далеко выходит за рамки тестирования на проникновение, и, скорее, является очень крупным исследовательским проектом, нежели пентестом. Решение подобной задачи будет выявлять уязвимости не вашей системы, а изъяны в миллионах или миллиардах чужих программных продуктов.

Подобные уязвимости способны стать средством реализации невероятной власти и и дать способность оказывать влияние глобального характера, включая. например, атаку на ядерные реакторы страны противника, организации тотальной слежки за населением, прослушки правительств других государств и т.п. Такие исследования стоят баснословные деньги и титанически трудозатратны, а потому, как правило, не по карману никому кроме государственных структур и крупных транснациональных корпораций.

Кстати, стоит заметить, что многие исследуемые программные приложения и операционные системы имеют закрытый исходный код. Это означает, что тот принадлежит какой-либо компании, которая никому и никогда его не предоставит, не выложит просто так в интернет и не даст возможность «скачать, чтобы убедиться, что в нем нет уязвимостей». А исследование продукта без исходного кода увеличивает сложность и трудозатратность этого процесса.

А теперь представьте, сколько разнообразных решений и продуктов используется в компьютерной сети вашей компании, какие установлены операционные системы, сколько в них компонентов, и насколько они обширные. Так вот, рассчитывать, что пентест стоимостью, пусть даже в пару десятков миллионов, обезопасит вас от всего — наивно.

Поэтому каждый пентест по сути является лишь средством снижения рисков информационной безопасности до какого-то конкретного уровня. И этот последний всегда определяется перечнем и составом работ пентеста: чем тот ограничивается, будут ли подвергаться исследованию исходные коды продуктов, если «да», то какие именно, входят ли в их состав сторонние компоненты, нужно ли исследовать и их и в каком объеме и т.п.

И, безусловно, все это очень сильно отражается на цене услуги. За грош полцарства не купишь.

Улучшать системы обеспечения информационной безопасности можно до бесконечности и не всегда это будет рационально и оправданно. Поэтому, для того чтобы определить адекватный уровень безопасности, который стоит поддерживать, выбирают модель наиболее вероятного для компании злоумышленника. Модель конкретного злоумышленника определяет его навыки и возможности. И все дальнейшее обеспечение информационной безопасности строится, исходя из того, что злоумышленник обладает данными навыками.

 

Советы: как обойти подводные камни

А теперь, обратим внимание на небольшие советы при заказе тестирования на проникновение.

 

  • NDA

Данный пункт очевиден, но все же его стоит упомянуть. Первый шаг при пентесте состоит в подписании соглашения о неразглашении информации.

 

  • Вводная информация для пентестера

Перед началом пентеста стоит убедиться, что для непосредственного исполнителя прописаны цели пентеста (то, для чего делается пентест, и какая охраняемая информация является первостепенной целью пентеста). Убедиться, что обговорен периметр пентеста (какие адреса включены в тестирование и т.д.; может быть пентестеру доступны для тестирования все адреса компании, которые он выявит, а может, они ограничены строго определенным заказчиком перечнем). Также обсудить с исполнителем, какие методики он будет применять, чтобы иметь представление о предстоящем пентесте до его начала. Четко определить, что входит в тестирование, а что нет (то, что не входит, есть всегда!). В данном случае, имеется ввиду понимание глубины пентеста: входит ли в пентест исследование исходных кодов или реверс инженеринг каких-то программ и т.д., если да то обязательно нужно обговорить входит ли в данные услуги реверс сторонних компонентов ПО. Ну и, конечно, обговорены сроки.

 

  • Компетенция пентестеров, предыдущий опыт, резюме

При общении с исполнителями необходимо ознакомиться с их предыдущим опытом, убедиться в его соизмеримости с вашим проектом. Просить резюме сотрудников не обязательно, бывает достаточно личной беседы.

Можно задать вопросы:

  • Что будет делать аудитор, если сканер безопасности не обнаружит критических уязвимостей?
  • Какие обычно уязвимости встречаются в подобных заказчику компаниях?

 

  • Инструментарий

Попросите аудитора оставить в отчете пометки об инструментах, которые использовались, чтобы после пентеста Ваши сотрудники могли повторять действия аудитора в качестве проверки устранения уязвимостей. Также можете попросить аудитора указать список ПО, которым можно закрыть те или иные уязвимости, обнаруженные у вас в сети.

 

  1. Заранее обозначьте критические системы, к которым относиться с повышенной осторожностью
  2. Критически важные системы, сбой которых чреват далеко идущими последствиями, необходимо тестировать на тестовой площадке (т.е. на копии), во избежание остановки этих важных процессов.
  3. Обязательно укажите приоритетные цели, куда аудитору пытаться проникнуть в первую очередь
  4. Укажите «возможно слабые» места с вашей точки зрения, все это ускорит пентест и повысит его эффективность.
  5. Выделите одного сотрудника, через которого будет происходить все взаимодействие между компанией и  исполнителем
  6. Если у вас не blackbox, обеспечьте дополнительной информацией аудитора об используемых решениях и инфраструктуре сети. Ваша задача не в том, чтобы давать ему минимум информации, а в том, чтобы он посмотрел как можно больше аспектов Вашей сети и систем.
  7. Если пентест не полный blackbox, отключите на время пентеста WAFы и блокирование учетных записей домена. Все это будет требовать от аудитора лишнего внимания и времени для тестирования, в то время как злоумышленник не ограничен по времени, сможет осуществить брутфорс даже с жесткими ограничениями.

 

Заключение

Конечно, приведенная выше информация о назначении и проведении тестов на проникновение в информационную систему компании не является исчерпывающей. Но все ключевые моменты, необходимые для понимания практики применения этого вида аудита, раскрыты. Хотелось бы надеяться, что читателям статьи этот материал окажется полезным, они смогут использовать приведенные рекомендации на практике.

Просмотров: 1559

Мнения экспертов

  • Крюков А.Н.Крюков А.Н.
    Рязанское высшее воздушно-десантное командное училище им. В.Ф.Маргелова
    преподаватель

Многие владельцы бизнесов относят информационную безопасность к расходам и принимают риски, связанные с ней, как форс-мажор.

Статья Евгения Олеговича Соболева посвящена обоснованию (CIO перед владельцами бизнеса) вариантов (и затрат на) анализ защищённости сети компании путём теста на проникновение («пентеста»), проводимого сторонней организацией. В ней автор самостоятельно и с профессиональным юмором, последовательно и по классической методике излагает основы для заключения договора с пентестерами и аудиторскими компаниями разной квалификации для лиц, ранее с этой областью деятельности не сталкивающихся.

Предлагаемая статья уникальна и написана лицом с большим опытом анализа защищённости, «без мелкомягких», с использованием профессиональной терминологии и слэнга, читается на одном дыхании. Объём её достаточен для раскрытия темы. Оставаясь в рамках требований к открытой публикации, ряд моментов автор только обозначил.

Небольшие неточности в стиле и орфографии не снижают практической ценности работы - как для начинающих (студентов по направлению подготовки «Информационная безопасность»), так и для специалистов. Работа рекомендуется к публикации на портале sec.ru.

  • Левицкий О.И.Левицкий О.И.
    ОАО НПО «Наука»
    Ведущий специалист по информационной безопасности

Автор профессионально и взвешенно разбирает прикладные аспекты достаточно закрытой области ИБ. Я читал, не скрою, с большим удовольствием и интересом, т.к. в данном случае было очевидно, что материал написан настоящим «Безопасником с большой буквы».

Если оглянуться лет на 10 назад, то penetration test’ы чаще использовались в практике защиты банковских систем платёжных карт, согласно требованиям стандарта защиты PCI DSS. Со временем эта практика была распространена на большее число промышленных сегментов, а сегодня вполне заслуженно считается проявлением «the best practices».

Статью настоятельно рекомендую как к публикации на портале, так и к прочтению всем офицерам информационной безопасности, особенно начинающим этот непростой путь.

Опуская из рассмотрения вопросы, изложенные в вводной части статьи, а также некоторые «терминологические» рассуждения (некоторые утверждения носят дискуссионный характер), следует отметить явное желание автора помочь потенциальным клиентам в выборе поставщика услуг на проведение анализа своей ИТ-инфраструктуры. Действительно, судя по последней статистике, это проблемная область и требует достаточно серьезного внимания со стороны владельцев ИТ-инфраструктур. В их число входят и те, кто предоставляет различные онлайн-сервисы, и те, кто считает «себя» полностью защищенным, основываясь лишь на том, что к корпоративной сети организации нет прямого интернет-доступа. В связи с изложенным, полагаю затронутую тему достаточно актуальной, своевременной. Хотелось бы увидеть развитие данной темы как со стороны самого автора этого материала, так и со стороны коллег-экспертов. Т.о. несмотря на наличие некоторых спорных моментов, полагаю, что данная статья, соответствует требованиям редакции к публикуемым материалам.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

  • Соболев Е.О.Соболев Е.О.
    Лаборатория Практической Безопасности
    Директор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru