Пентесты: кому и зачем?

Вирус-вымогатель атаковал IT-системы компаний в разных странах

Практически все бизнес-процессы сейчас находятся в интернет-пространстве. Однако за очевидной удобностью скрывается один большой риск ― безопасность. Хакеры и мошенники активно ищут и используют в своих целях “прорехи” в системах. Только за этот год количество кибератак на компании из абсолютно разных отраслей увеличилось в 10 раз. Но не все так страшно, как может показаться на первый взгляд. Так называемые пентестеры трудятся как раз ради того, чтобы научить бизнес отражать и предотвращать подобные атаки. Подробнее об этом РИА Новости рассказали эксперты группы ЛАНИТ.

Пентест - проверка на уязвимость

Традиционно для защиты информационной системы компании строят и формируют всевозможные защитные механизмы. Злоумышленник же хитёр и коварен. Он делает все, чтобы дестабилизировать процесс работы. И здесь на помощь приходят пентесты, когда атаку моделирует специалист, который выявляет слабые места системы и дает советы для ее совершенствования.

Всё должно начинаться с аудита безопасности, в котором важную роль играет пентест ― услуга, позволяющая вскрыть недостатки в организации безопасности заказчика и понять, что необходимо защищать в первую очередь. Потому что представленная в киберпространстве компания, которая ранее не подвергалась кибератакам, вряд ли сможет другим способом эффективно протестировать свои вложения в кибербез.

Николай Фокин

директор Центра информационной безопасности компании «ЛАНИТ-Интеграция»

Фактически речь идет об имитации кибератаки или действий злоумышленника, нацеленных на получение доступа к информации, к эксплуатации информсистем с целью, например, вывода денежных средств. Пентест может быть внутренним и внешним. В первом случае компания-исполнитель работает в инфраструктуре заказчика и, например, пробует повысить права пользователя. Во втором случае тестовый удар по инфраструктуре заказчика наносится снаружи.

"В процессе тестирования проводится пассивная разведка внешней инфраструктуры заказчика, и через обнаруженные уязвимости нам удается проникнуть во внутреннюю инфраструктуру. Дальше мы уже на площадке заказчика анализируем его внутренние сервисы, всю корпоративную сеть, выявляя различные недостатки: например, отсутствие обновлений или неправильное архитектурное решение", ― говорит директор департамента по противодействию киберугрозам компании "Информзащита" Илья Завьялов.

Глобальная атака вируса-вымогателя поразила IT-системы компаний в нескольких странах мира.

Перейти в медиабанк

Пентест

По подходу к тестированию пентесты делятся на три типа: "черный", "серый" и "белый" ящики. В случае "черного ящика" пентестер не знает о заказчике ничего, кроме данных из открытых источников. В случае "серого" компания делится частью информации о своей инфраструктуре, например, дает почтовые адреса сотрудников. При тестировании методом "белого ящика" разыгрывается сценарий, где злоумышленник проводит атаку, имея все сведения, которые могут быть у сотрудника компании или даже сисадмина.

По словам руководителя службы информационной безопасности компании "Онланта" Мурада Мустафаева, очень многие представители госсектора (правительственные организации, муниципалитеты, федеральные службы) сегодня активно используют пентесты для проверки защищенности своих информационных систем. Как правило, госструктуры заказывают тестирование по типу "серого ящика". В этом варианте один из методов пентеста предполагает поиск сотрудников организации в соцсетях, проведение брутфорс-атаки (от англ. brute force — грубая сила, метод поиска пароля путем перебора всех возможных комбинаций) и использование социальной инженерии.

Строчки с цифрами на экранах компьютера и ноутбука.

Перейти в медиабанк

"Как показала практика, когда ты знаешь фамилию генерального директора или начальника охраны и от их имени звонишь сотруднику с просьбой передать его учетные данные, то большинство, как правило, их отдает. Примерно 85% взломов проходят именно через социальную инженерию, когда сотрудники просто плохо осведомлены о политиках информационной безопасности. И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации", ― сообщает Мустафаев.

Какие они, уязвимости

Таким образом, самые распространенные уязвимости завязаны на людей. И сценарии таких атак постоянно совершенствуются. Целью номер один часто становятся внутренние разработчики и сетевые администраторы, которые имеют привилегии доступа к инфраструктуре.

От этого полностью защититься невозможно. Например, в ходе пентеста мы вычислили в открытых источниках разработчика, отправили ему вредоносный документ, а он просто переслал его своим коллегам. Сделано это было лишь потому, что мы представились кем-то из руководства. И таким образом, у нас было пять различных уровней доступа в инфраструктуру заказчика

Илья Завьялов

Директор департамента по противодействию киберугрозам компании "Информзащита"

Другая проблема – веб-уязвимости. По его словам, далеко не во всех компаниях есть культура безопасной разработки интернет-сервисов и приложений. То есть разработчики и сотрудники ИБ не всегда перед запуском в общий доступ или очередным обновлением продукта проводят его аудит, оставляя возможность утечек исходных кодов и сохраненных паролей.

Инсайдерские угрозы – еще один из векторов проникновения во внутреннюю инфраструктуру компании, особенно крупной. Она может иметь развитую службу ИБ, которая непрерывно сканирует уязвимости и совершенствует защиту. Но крупной компании часто нужны услуги сторонних организаций: установка оборудования, электрика, клининг, доставка и так далее. Хакер находит компанию, обслуживающую крупную корпорацию или холдинг, и через ее коммуникации выходит на офис главного заказчика.

Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack (атаку на цепочку поставок – ред.), - объясняет директор департамента по противодействию киберугрозам компании "Информзащита" Илья Завьялов.

Также, по данным "Информзащиты", у российских компаний множество уязвимостей связано с отсутствием процессов обеспечения безопасности внутренней инфраструктуры. Один из них – это управление уязвимостями (Vulnerability Management), когда чуть ли не каждые две недели команда ИБ проводит полное сканирование всей внутренней инфраструктуры и инвентаризацию ИТ-активов.

У многих клиентов до сих пор есть такая установка: нас же не ломали ни разу, значит, всё хорошо. При этом в инфраструктурах, особенно у больших компаний, очень много уязвимостей, которые не закрываются годами: забыли про какой-то сервер, про рабочую станцию давно уволившегося пользователя, про его учетную запись

Илья Завьялов

Директор департамента по противодействию киберугрозам компании "Информзащита"

По его словам, глубокое сканирование помогает найти недостатки в настройках Active Directory (используемая повсеместно служба каталогов от Windows). Например, есть уязвимость в сервисе Exchange, который отвечает за доставку почты в домене. Если злоумышленник скомпрометирует этот сервис, он сразу получает максимальные привилегии, потому что сервис Exchange по умолчанию имеет права на все учетные записи домена.

Также среди уязвимостей эксперт выделяет возможность удаленного выполнения кода за счет сервиса SMB (сетевой протокол для удалённого доступа к файлам, принтерам и другим сетевым ресурсам). Она позволяет злоумышленнику получить первую учетную запись и через нее развивать атаку.

Проблемой является и слабая парольная политика. У типичной большой компании могут быть ip-камеры наблюдения, принтеры, другие устройства, которые поддерживают авторизацию Microsoft. "Камеры и принтеры часто не контролируются сотрудниками ИБ. Ну, стоит себе принтер, его задача ― печатать, а камера просто записывает видео. Что может с ними случиться? На самом деле злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку", ― поясняет специалист "Информзащиты".

Первая в России печать двухэтажного здания на 3D-принтере

Пентест автоматом

Пентесты обычно проводят в ручном режиме с учетом особенностей и пожеланий заказчика. Однако все больше заказчиков хотят автоматизировать процесс тестирования, имея в своем периметре систему непрерывного мониторинга и запуска пентестов.

"Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов. Представим ситуацию: пришли специалисты, проверили инфраструктуру компании, нашли уязвимости, выдали рекомендации по изменению. Но после этого в ИТ-ландшафт могут быть внесены изменения, и результаты пентеста становятся неактуальны. Между тем, делать его каждый месяц или даже квартал очень накладно. И здесь может помочь только автоматизация", ― поясняет Фокин из "ЛАНИТ-Интеграции".

В связи с этим на рынке появился, по сути, новый класс систем – системы автоматизации пентеста.

Самыми распространенными считаются системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS), имитирующие взломы и атаки сразу по множеству векторов, как это делают хакеры-профи. Одним из таких решений является платформа автоматизированного тестирования на проникновение под названием PenTera, соединяющая преимущества обычных сканеров уязвимостей и ручного пентеста.

Как охотится PenTera

С помощью искусственного интеллекта PenTera моделирует мышление и поведение хакера. Виртуальный злоумышленник, использующий самые продвинутые техники, постоянно держит в тонусе команду ИБ заказчика, пытаясь проникнуть в систему и выискивая в ней слабые места.

Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, потому что у человека есть креативное мышление. Но, что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ― всё это система обеспечивает

Николай Фокин

Директор Центра информационной безопасности компании "ЛАНИТ-Интеграция"

У компании "ЛАНИТ-Интеграция" есть успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, включая системы IoT.

"Система подключается без установки каких-либо агентов: ты просто приносишь ноутбук, нажимаешь кнопку, и начинается “магия”: система моделирует атаку. Она может горизонтально перемещаться по инфраструктуре в поисках уязвимостей (при этом обеспечивая безопасную эксплуатацию), может повышать привилегии на рабочих машинах", ― продолжает специалист.

Например, система может "подсунуть" сотруднику с определенными правами форму для ввода логина и пароля, после чего продолжит исследовать домен, но уже с повышенными привилегиями, компрометируя этот домен в инфраструктуре.

Сотрудник за компьютером

Перейти в медиабанк

"В итоге мы получаем не просто набор уязвимостей, а понимание их взаимосвязи между собой. То есть система визуализирует вектор атаки, указывает на ее первопричину ― ту уязвимость, которая позволила быстро проникнуть в инфраструктуру, получить доступ к целевой системе и произвести там некие действия. Это помогает приоритизировать усилия и сконцентрироваться именно на тех проблемах, которые нужно устранить прямо сейчас", ― объясняет Фокин.

Как пройти пентест

Как говорят эксперты, для того, чтобы компания не оказалась абсолютно беззащитной перед тестированием на проникновение, а, следовательно, и перед атакой злоумышленников, нужно начать с соблюдения элементарных правил информационной безопасности, принятых во всем мире и прописанных в международном стандарте ISO 27001.

"Эти стандарты довольно простые: например, срок пароля не должен превышать три месяца, а сам пароль должен состоять из цифр, букв и символов. Блокировка учетной записи пользователя должна происходить после трех попыток неверного ввода пароля. Список требований достаточно большой, но выполняются они легко", ― отмечает Мурад Мустафаев, советуя заказчикам проводить обучение персонала требованиям и практикам в сфере ИБ.

Также специалист считает необходимым регулярно проводить сканирование инфраструктуры на уязвимости, ведь любой хакер начинает атаку именно с этого.

Если озаботиться защитой инфраструктуры, соблюдать правила информационной безопасности, можно значительно снизить вероятность взлома. И, конечно, нельзя экономить на ИБ, надеясь, что ничего не случится: кибератака – это то, что может коснуться каждого и в любую секунду.

Мурад Мустафаев

Руководитель службы информационной безопасности компании "Онланта"

Киберучения; для тех, кто прошел пентест

Для более зрелых с точки зрения ИБ компаний, которые соблюдают стандарты безопасности, прошли пентесты и закрыли очевидные уязвимости, существует следующий уровень повышения защищенности. Его достигают с помощью киберучений – такую услугу также предоставляют профессиональные разработчики.

Люди работают за ноутбуками

Перейти в медиабанк

Если задача первых найти уязвимости и дать рекомендации для их устранения, то вторые предполагают совместный с командой ИБ заказчика поиск возможностей проникновения, проверку навыков и дальнейшее обучение сотрудников.

"На киберучениях команда ИБ заказчика может посмотреть, как действуют реальные злоумышленники. Одновременно мы проверяем работу SOC (Security Operations Center - центр мониторинга и реагирования на инциденты ИБ) заказчика: насколько быстро реагируют на нашу атаку, как ее интерпретируют. Есть возможность пообщаться со "злоумышленником" напрямую, пентест покажет реальные векторы атак и научит противодействовать", ― поясняет Завьялов.

Безопасность как услуга

Рост спроса со стороны заказчиков на информационную безопасность как услугу (SECaaS - Security as a Service) обусловлен участившимися в последнее время кибератаками. При использовании сервисной модели решение задач по защите инфраструктуры компании и ответственность за информбезопасность берут на себя профессионалы. Таким образом, у ИТ-специалистов клиента есть возможность сосредоточиться на профильных бизнес-задачах.

В условиях резко возросших угроз доверить аутсорсеру (провайдеру) выстраивание безопасности инфраструктуры компании оказалось намного выгоднее, чем создавать защиту с нуля или бесконечно наращивать собственный штат ИБ-специалистов.

"Сегодня на путь "безопасность как сервис" встали и крупнейшие российские вендоры в сфере ИБ, и аутсорсинговые компании. Такая модель позволяет обеспечить требуемый уровень информационной безопасности с меньшим объемом инвестиций. И, самое главное, она открывает клиенту весь спектр возможностей в формате "единого окна": не нужно общаться с множеством вендоров, чтобы внедрить средства защиты инфраструктуры ― в одном месте можно заказать все необходимые услуги. Именно по такой модели "единого окна" мы оказываем услуги нашим заказчикам из всевозможных сфер и с разным объемом бизнеса, имея собственную экспертизу и партнерство со многими российскими вендорами в сфере ИБ", ― поясняет Мустафаев.

По словам специалиста, активный спрос со стороны заказчиков на модель "ИБ как сервис" во многом стал результатом ухода российских пользователей от практики, когда было не принято рассказывать о состоявшихся взломах и атаках на инфраструктуру.

"В России начали этим делиться более открыто. Высокий уровень защиты бизнесу необходим "здесь и сейчас", поэтому времени и ресурсов на развитие собственных центров не хватает. Выход – поддержка со стороны партнера, обладающего всеми нужными компетенциями, экспертизой и опытом. Возьмем, к примеру, интернет-магазин с небольшим штатом. Компании невыгодно держать дорогостоящего ИБ-специалиста, поэтому проще и эффективнее перейти на модель MSSP (managed security service provider). Компания приобретает нужный набор услуг информационной безопасности "под ключ", развертыванием, сопровождением и поддержкой занимается провайдер с необходимыми компетенциями. Итог ― защищенная инфраструктура без капитальных затрат", ― отмечает представитель "Онланты".

Кому нужен пентест

Спрос на информационную безопасность растет во всех сферах. По словам Мурада Мустафаева, самые крупные инвестиции в ИБ осуществляет сегодня банковский сектор, искренне заинтересованный в сохранении своих информсистем и защите персональных данных.

Склад

Перейти в медиабанк

"Активно инвестирует и промышленный сектор. Подтягивается коммерческий сектор, особенно крупные интернет-ритейлеры. И, самое интересное, беспокоиться о кибербезопасности начал малый и средний бизнес: небольшие компании тоже хотят защитить себя от злоумышленников. SBM даже при взломе небольшой базы теряют конечных клиентов, что естественно, негативно сказывается и финансово, и репутационно", ― объясняет специалист.

Илья Завьялов из "Информзащиты" также отмечает расширение спектра клиентов в области ИБ. При этом новым трендом является рост спроса со стороны небольших компаний, которые ведут бизнес через интернет.

Разброс очень большой: есть большие госкорпорации, банки, крупные строительные компании, но есть и небольшие стартапы. Самые маленькие компании, которые к нам приходят, ― это 30 человек, небольшая внутренняя инфраструктура и два-три приложения. Самые крупные - с огромной инфраструктурой, большой внешней сетью и десятком мобильных приложений. К нам можно прийти с абсолютно любой задачей и, наверное, почти с любым запросом на улучшение безопасности.

Илья Завьялов

Директор департамента по противодействию киберугрозам компании "Информзащита"

По его словам, все больше представителей малого и среднего бизнеса понимают важность информационной безопасности. "Сегодня невозможно построить компанию, которая будет приносить деньги, и при этом не думать о безопасности. И молодые компании, которые только появляются, заранее строят свою архитектуру с учетом требований ИБ", ― заключает эксперт.

Это долгосрочная инвестиция. Некогда маленькая компания в перспективе может разрастись не только по региону, но и по стране. Все это неизбежно приведет к расширению инфраструктуры, защищенность которой будет гораздо проще обеспечить при наличии базовых систем безопасности.

_{Реклама}
_{АО "ЛАНИТ", ИНН 7727004113}
_{ID: 4CQwVszH9pQPMsgdRRQ}

10:04 19.12.2022

ЛАНИТ Кибербезопасность Технологии