Сергей Гилев, Angara Security: При подборе пентестеров нужно смотреть не на количество сертификатов, а на качество отчетов по итогам анализа

Тестирование на проникновение (пентест) – эффективный метод оценки безопасности информационных систем. Он позволяет выявить и устранить критические уязвимости ИТ-инфраструктуры до того, как ими воспользуются хакеры. Руководитель отдела анализа защищенности Angara Security Сергей Гилев рассказал Cyber Media о своем видении процесса пентеста: как нанять грамотную команду пентестеров и какие выводы нужно делать из их результатов.

Cyber Media: Главный тренд в ИБ за последний год – это переход к реальной кибербезопасности. Изменилось ли отношение компаний к услугам по анализу защищенности?

Сергей Гилев: В целом, оценивая те активности, в которых я участвовал за последние лет шесть, могу сказать – да, спрос вырос. Причем вырос не только в количественном отношении, но и в качественном. Если раньше большинство заказчиков пентеста не совсем понимали, в чем заключается суть этой работы, какие должны быть критерии ее оценки, то сейчас мы видим более внятные технические задания, компании лучше понимают, каких результатов они хотят достичь в рамках анализа защищенности.

Приведу пример. Раньше тестирование на проникновение зачастую ограничивалось сканированием на уязвимости, и отчет создавался только на основе ручной верификации данных сканера. Сейчас от заказчиков приходит все больше запросов, где указан четкий перечень работ и ожидаемые результаты. Это, несомненно, облегчает нам ответ на вопрос, что нужно заказчику.

Также вырос осознанный спрос на реальное моделирование атак, разнообразные Red Team Operations, когда мы не просто ищем уязвимости, а преодолеваем противодействие защитных систем и команд заказчика.

Естественно, ИТ-ландшафт заказчиков очень сильно поменялся. Сейчас в компаниях внедряется все больше систем, часто это уже не только какие-то «коробочные» решения, а собственная разработка. И, конечно, есть запрос на оценку защищенности этого ландшафта. Как следствие – услуги по анализу защищенности становятся всё популярнее.

Cyber Media: Какие данные сейчас попадают в отчеты по итогам пентеста?

Сергей Гилев: Клиенты хотят понимать, какие у них есть уязвимости на внешнем периметре, в приложениях, во внутренней сети. Кроме того, разумеется, им нужны как можно более полные рекомендации по устранению этих уязвимостей. Некоторые заказчики также хотят видеть, как именно потенциальные нарушители могут воспользоваться уязвимостями, чтобы скомпрометировать инфраструктуру: получить несанкционированный доступ, украсть данные, вывести из строя критические бизнес-системы. То есть – как злоумышленник может выстроить вектор атаки (Kill Chain).

Cyber Media: Если посмотреть на пентест «глазами клиента», на что Вы бы рекомендовали компаниям обратить внимание при выборе исполнителей?

Сергей Гилев: Очень популярный вопрос. Я нередко вижу, что заказчики подбирают исполнителей по количеству сертификатов у команды, по количеству выполненных проектов и зарегистрированных CVE (Common Vulnerabilities and Exposures, база известных уязвимостей – прим. ред.), по опыту Bug Bounty (поиска уязвимостей в определенном продукте) или участия в киберсоревнованиях. Однако для анализа защищенности такой опыт не всегда нужен. Например, навыки нахождения и регистрации CVE вообще не коррелируют с требованиями к таким работам.

На что бы я рекомендовал обращать внимание? Конечно же, зачастую решающее значение имеет релевантный опыт. Но ограничиваться одним этим параметром не стоит. Приведу пример: компания, которая давно занимается кибербезопасностью, решила сформировать пентест-команду. Набрали специалистов с действительно сильными техническими навыками, организовали подразделение. Но «юридически» пентест-проектов у них может быть мало, и если заказчик планирует опираться на этот критерий, он может упустить эту хорошую команду.

Поэтому, кроме опыта, я бы советовал смотреть на результаты технических интервью непосредственно с участниками команды исполнителя. Не все клиенты так поступают, и это понятно: в компании вполне может не оказаться людей с достаточными навыками, чтобы оценить уровень пентестера. Но зато техническое интервью покажет, может ли специалист четко и ясно донести свою позицию, преподнести результаты, объяснить непонятные вещи. В итоге вы сможете понять, насколько адекватна та или иная команда.

Я также рекомендую запрашивать у потенциальных исполнителей примеры их отчетов – такие обезличенные документы есть у каждой уважающей себя команды. Реальной информации о заказчике вы там не увидите, зато оцените качество информации, описывающей ход работ, выявленные уязвимости и рекомендации по их устранению. Посмотрите на структуру документа: насколько он зрелый с точки зрения технической документации? Описана ли там методика, модель нарушителя? Как оценивается общий уровень защищенности или критичность определенных уязвимостей? Как вообще описываются уязвимости, приводятся ли доказательства, что они действительно есть в инфраструктуре и эксплуатируемы? Насколько глубокие даются рекомендации по устранению этих уязвимостей?

С моей точки зрения, изучение отчета принесет даже больше пользы, чем интервью с командой.

Разумеется, заказчику нужно также убедиться, что у него будет работать штатная команда компании-исполнителя, а не какой-то субподрядчик. Мне известны примеры, когда компания предлагает услуги пентеста, а на проекты привлекает сторонних специалистов, причем иногда даже без подтвержденной квалификации.

Cyber Media: Я слышал истории про «суровых уральских студентов», которые становятся пентестерами «за оценки».

Сергей Гилев: (Смеется) Не исключено, ведь реальный опыт можно получить, только поработав в компании. Или, что мы целиком осуждаем и никогда не рекомендуем делать, – занимаясь деятельностью, которая попадает под 28-ю главу УК РФ, в частности ст. 272 (неправомерный доступ к компьютерной информации – прим. ред.).

Не скажу, что студенты в пентест-команде – это так уж плохо. Вопрос в уровне, который объективно нужен для решения поставленной задачи. Я понимаю, что каждый хочет получить услугу от суперквалифицированной команды. Но это может привести попросту к переплате. Я не говорю, что нужно опираться только на ценовой критерий, но точно нужно искать некую «золотую середину» совместно с потенциальным исполнителем.

Cyber Media: Киберучения и кибербитвы – насколько они важны и нужны для команды практикующих пентестеров, которые регулярно применяют свои навыки «в полевых условиях»?

Сергей Гилев: Важны, нужны, всячески поощряю и сам активно участвую.

В проектах у заказчиков вы не всегда встретите инфраструктуру с реальными уязвимостями. Если такие проекты идут один за другим, у команды может «замылиться глаз», может упасть мотивация. Киберучения помогают держать себя в тонусе, выработать навык командной работы и просто поддерживать боевой дух. Это очень важно при проведении продвинутых тестов, например, в режиме Red Team, когда пентестеры сталкиваются с противодействием.

В России мне известны как минимум два отраслевых мероприятия, которые дают возможность проверить себя в реальных условиях: это Standoff 365 в рамках Positive Hack Days и «Национальный киберполигон», который запустили коллеги из «Ростелеком-Солар».

Cyber Media: Вы в своих заметках рассказываете, что на «Киберполигоне» нужно не только захватывать флаги, но и удерживать их.

Сергей Гилев: Да, мне эта особенность очень понравилась, это выделяет «Киберполигон» среди аналогов. Такой формат добавляет реализма: недостаточно просто взломать сервер или вывести систему из эксплуатации, нужно еще и удержаться на своем месте, чтобы защитники тебя не «выкинули».

Cyber Media: Если говорить о результатах пентеста, насколько часто бывают случаи, когда в ходе работы не получается найти в инфраструктуре ничего критически опасного?

Сергей Гилев: Не сказал бы, что это происходит так уж часто. Таких случаев точно меньше четверти.

При этом команде пентестеров важно понимать, почему ей не удалось ничего найти. У разных компаний разный ландшафт и разная поверхность атаки. У кого-то может быть множество систем на внешнем периметре, внутренняя сеть, которая охватывает город, регион, а то и всю страну – то есть количество информационных систем исчисляется сотнями.

А есть компании, где система всего одна, и она на периметре представлена парой IP-адресов, а во внутренней сети – всего 50 хостов, куда входят и рабочие станции пользователей, и серверы, и коммутационное оборудование. Фактически там и атаковать нечего. Небольшую инфраструктуру, конечно, содержать проще. Ее всю видно, она однородная, процессов немного.

С другой стороны, у нас был проект, где действительно были десятки тысяч IP-адресов, и всем этим управляла команда безопасности из 7-10 человек. Они физически не успевали за всем уследить, поэтому взломать такую инфраструктуру было относительно просто.

Бывают, наоборот, крупные компании со зрелыми процессами кибербезопасности, и на все поползновения пентестеров следует жесткий ответ.

Поэтому, отвечая на вопрос, – да, есть такие случаи, но все зависит от ситуации.

Cyber Media: Плюс ко всему, очевидно, заказчик изначально ограничивает список проверяемых ресурсов (скоуп), указывая, что именно он хочет проверить.

Сергей Гилев: Тут тоже есть нюансы. Любой пентест начинается с разведки: мы имитируем действия нарушителя и собираем информацию из всех доступных нам источников вне зависимости от переданного заказчиком скоупа. Если мы находим что-то, что в скоуп не входит, мы сообщаем заказчику: вот здесь есть это, а там – то, может быть, тоже добавим? Мы следуем интересам безопасности заказчика и стараемся всегда приблизить модель атаки к реальной.

Бывали случаи, когда заказчик жестко запрещал выходить за границы скоупа. Мы проводили проект, подавали отчет – но по всей «инженерной чести» сказать, что вся инфраструктура после этого в безопасности и нет дополнительных векторов атак на нее, мы не можем.

Очень важно понимать, что сам по себе пентест не подразумевает, что мы найдем абсолютно все уязвимости и недостатки. Для этого есть Vulnerability Management, контроль политик безопасности, безопасная разработка и так далее. Суть пентеста – в имитации действий нарушителя. А нарушителю зачастую достаточно придерживаться принципа Парето: 20% усилий дают 80% результата. Можно найти всего одну-две-три уязвимости, которые позволят с внешнего периметра получить права администратора, закрепиться и реализовать какие-то негативные сценарии в дальнейшем.

erid: Pb3XmBtzsreh9DFMngQprcYqK8MyQqdef1EZJht

* Реклама, Рекламодатель ООО «АТ Груп», ИНН 7730016670