Сергей Полунин, «Газинформсервис»: Пентест – это не экзамен, который можно провалить и понести наказание

В последние месяцы два главных тренда на российском ИБ-рынке – это импортозамещение и противодействие активным ИБ-угрозам. Руководитель группы защиты инфраструктурных IT компании «Газинформсервис» Сергей Полунин рассказал Cyber Media, как отечественные ИБ-компании могут использовать рыночную конъюнктуру и как нынешняя ситуация выглядит со стороны заказчика.

О компании «Газинформсервис»

«Газинформсервис» – отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны. Компания занимается консалтингом и пентестами, обеспечивает безопасность персональных и конфиденциальных данных, защищает инфраструктуры от попыток взлома и дестабилизации. 

Cyber Media: С вашей точки зрения, импортонезависимость в ИБ – это разговор про компромиссы или про новые возможности?

Сергей Полунин: Я не думаю, что речь о компромиссах, потому что вопрос вообще не так стоит. Скорее всего, импортозамещать какие-то решения вынуждает ряд определенных обстоятельств.

К счастью, по состоянию на 2022 год есть довольно много российских или приравненных к ним решений для большинства направлений информационной безопасности. Есть направления, в которых российские решения традиционно сильны. В ближайшей перспективе ситуация вообще может оказаться довольно неплохой.

Cyber Media: А где российские разработчики ИБ-систем чувствуют себя наиболее уверенно?

Сергей Полунин: Уверенно или нет, но свои решения в России были всегда. От антивирусов, которые мы помним еще из 90-х, до современных средств контроля утечек информации и SIEM.

Большую роль играет Open source, на котором построена львиная доля современных российских решений. Если найти на сайте ФСТЭК государственный реестр сертифицированных средств защиты информации, то, если не брать аппаратную часть, по любому направлению можно найти какое-то решение.

Проблемы могут начаться через какое-то время из-за отсутствия конкуренции, которое нередко сопровождается потерей качества или ростом цены на продукт или услугу. Когда границы откроются, будет интересно посмотреть, как развивающиеся в изоляции российские продукты смогут конкурировать с решениями мировых компаний.

Cyber Media: Есть ли вообще в мире успешные примеры обособленного развития ИБ-компетенций? Например, северокорейские хакеры регулярно отмечаются громкими выступлениями.

Сергей Полунин: Увы, как и в прочих областях, без обмена опытом и знаниями в длительной перспективе ничего хорошего не получается. Про северокорейских хакеров – прекрасный пример, но я бы разделял обособленную Северную Корею и ту же группу Lazarus, которую с ней ассоциируют.

Мы не очень хорошо знаем, где живут ее участники, где они учились и как именно связаны с северокорейским правительством. Официальные лица многих западных стран, например, связывают их с Китаем, а это уже совсем другая история. Там, где государству нужно, изоляция может и не быть полной. Ким Чем Ын, говорят, большой любитель коньяка Hennessy, но, очевидно, в Пхеньяне его не разливают.

Cyber Media: Нужно понимать, что даже если у нас в распоряжении будет весь набор технологий, человеческий фактор может обнулить их защитный эффект. Практически любая серьезная атака включает в себя методы социнженерии. Как бороться с такими подходами?

Сергей Полунин: К сожалению, против атак с использованием социальной инженерии есть только одно хоть как-то работающее средство – обучение персонала.

Мы проводим курсы и семинары, где рассказываем о том, как нужно себя вести при возникновении подозрений. Кроме этого, мы используем различные программные продукты для симуляции подобных атак у себя в организации, и в компаниях-заказчиках. Например, можно провести семинар про фишинг, а затем провести управляемую фишинговую рассылку и посмотреть, как люди усвоили материал.

Cyber Media: А как проходит такое обучение?

Сергей Полунин: Как правило, оно включает определенную теоретическую основу, разбор примеров и кейсов, а потом небольшое тестирование по пройденному материалу. Затем через какое-то время мы начинаем пытаться атаковать обученных сотрудников по тем шаблонам, которые мы вместе с ними проходили.

Сотрудников делят на группы, исходя из их профессиональных обязанностей и уровня владения компьютером. Но это скорее вопрос к службе ИБ или отделу кадров – кого и в какой последовательности нужно обучать. Перед угрозами равны все, поэтому мы сами какого-то особого деления не делаем.

Cyber Media: И как вы оцениваете эффективность такого обучения?

Сергей Полунин: Цифрами поделиться не могу, но скажу, что они очень сильно зависят от политической воли руководства компании. Если обучение делается для галочки или просто потому что модно, результаты до и после почти не отличаются.

Однако, если руководство смогло объяснить сотрудникам, почему мы этим занимаемся, то и хорошие результаты не заставят себя ждать. Отдельно стоит упомянуть компании, где уже были зафиксированы утечки – они, как правило, мотивированы лучше других и хорошо понимают, чего хотят от обучения.

Cyber Media: Какие кейсы и сценарии обучения сейчас вызывают наибольший интерес у компаний?

Сергей Полунин: Самый популярный кейс – это управляемые фишинговые рассылки. Мы обсуждаем со ИБ– службой заказчика, какие темы актуальны для компании, плюс сами следим за новостной повесткой, а затем формируем рассылку. Это очень хорошо проверяет базовую грамотность всех сотрудников вопросах ИБ.

Cyber Media: Изменился ли фокус внимания в этом плане за последние месяцы?

Сергей Полунин: Темы всегда меняются, и они всегда цикличны. Любая более-менее заметная новость порождает волну попыток взлома методами социальной инженерии.

Например, совсем недавно во время пандемии, когда государство решило делать выплаты гражданам, была заметная волна таких мошенников. Сейчас главные новости совсем другие, и злоумышленники не отстают.

Одновременно с этим всегда есть, например, фейковые интернет-магазины, которые торгуют воздухом. Они стабильно появляются под каждый Новый год или 8 марта.

Cyber Media: Ваша компания много занимается пентестами. Можно предположить, что новости об утечках заставили многих задуматься, насколько просто взломать их организацию?

Сергей Полунин: Пентесты сейчас действительно в тренде, новости о взломах ставят во главу угла реальную безопасностью информационных систем, а не только соответствие формальным требованиям регуляторов.

В основном есть спрос на внешнее тестирование, когда мы пытаемся взломать компанию, имитируя действия предполагаемых злоумышленников. Спрос на внутреннее тестирование заметно меньше – у наших заказчиков в большинстве своем есть средства и компетенции для борьбы с внутренними нарушителями. Но даже они обращаются, что оценить, например, защищенность своей беспроводной сети.

Cyber Media: А в этой области насколько ситуация изменилась с весны?

Сергей Полунин: Волна DDoS-атак на российские веб-ресурсы действительно подстегнула интерес к услуге пентеста. Более того, руководство страны обязало крупные государственные компании провести такую оценку своих ресурсов, доступных извне. Сейчас в этом направлении идет активная работа.

Но тут хочется отметить, что безопасность – это процесс. И если сегодня вы убедились, что явных уязвимостей нет, то это совсем не значит, что она не будет выявлена завтра.

Cyber Media: Кто сейчас инициирует пентест – только ИБ-службы или бизнес тоже стремится защитить активы?

Сергей Полунин: Как правило, обосновать проведения пентеста – это задача ИБ-подразделения. Но зачастую такие службы не хотят, чтобы их проверяли. Многие воспринимают пентест как какой-то экзамен, которые они боятся не сдать и понести наказание.

Это, конечно, же не так. Цель пентестеров – показать уязвимости и совместно с заказчиком выработать меры по их устранению.

Cyber Media: Какими методам и технологиями вы проверяете ИБ-инфраструктуру на прочность?

Сергей Полунин: Самый востребованный сценарий сейчас у нас – это тестирование методом «черного ящика». Мы имитируем действия внешнего нарушителя, у которого нет или почти нет информации об целевой инфраструктуре. Исторически службы безопасности в российских компаниях научились работать с инсайдерами, нет дефицита и средств для контроля действий своих пользователей. Поэтому неудивительно, что именно «черный ящик» так востребован.

Вначале мы согласуем диапазон целей и временные интервалы, когда будет проводиться тестирование. Дополнительно, если требуется, мы уведомляем о работах другие заинтересованные службы. Например, интернет-провайдера, который может обнаружить необычную активность и как-то помешать работе.

Далее используя общепринятые методики – OWASP, OSSTMM, PTES или что-то подобное, в зависимости от целей – мы постепенно тестируем цель. Если на сервере, доступном через интернет, удается обнаружить что-то критическое, мы, как правило, оповещаем службу безопасности – иногда принимать меры нужно срочно.

В финале мы формируем отчет, где есть техническая часть для специалистов по ИБ, раздел для руководства с общим состоянием дел и краткие рекомендации по устранению обнаруженных уязвимостей.

Cyber Media: Как часто пентестерам не удается проникнуть в компанию?

Сергей Полунин: Довольно часто. Но это классическая «ошибка выжившего». К нам обращаются довольно крупные компании, которые уже вложили в ИБ значительные средства. Даже если мы находим какие-то проблемы и уязвимости, далеко не всегда они ведут именно к взлому и краже данных.

Часто для эксплуатации уязвимостей требуются еще какие-то условия, выполнить которые не удается. В этом случае мы все равно оповещаем заказчика о находках и совместными силами работаем над устранением.

Cyber Media: Какие участки ИБ-периметра оказываются уязвимыми чаще всего?

Сергей Полунин: Самая частая точка вход в инфраструктуру – это веб-серверы. Современные веб-приложения – это комплексные и очень сложные решения, состоящие из огромного количества компонентов. Серьезная уязвимость в одном из них может привести к компрометации всего сервера и стать точкой входа в инфраструктуру. И это мы еще не учитываем ошибки в бизнес-логике самого приложения.