Пентест с нуля: как подготовиться и выбрать подрядчика

Пока одни хакеры атакуют российские компании вне закона, другие работают легально и даже получают деньги от жертв. Такие «‎злоумышленники»‎ занимаются пентестом – исследованием на проникновение. В последнее время услуга стала особенно популярной среди предприятий в России.

Читайте в этой статье: что такое пентест, как провести его в первый раз и по каким критериям выбрать исполнителя.

Пентест: что это и кому он нужен

Penetration test – это тест на проникновение, который ничем не отличается от действий киберпреступников. Специалисты находят уязвимости, взламывают системы и получают доступ к персональным, финансовым или другим важным данным. Единственное но – пентестеры проходят этот путь заранее, чтобы потом им не воспользовались реальные злоумышленники.

Илья Костюлин

Руководитель направления анализа защищенности Awillix

Если вы не делали пентест более года, то он вам нужен. В год обнаруживается около 25 000 уязвимостей. Не всегда компании могут следить за всеми сервисами и устанавливать последние обновления. К тому же, добавляются ошибки конфигурации. В итоге с помощью построения цепочек уязвимостей и поиска дополнительной информации злоумышленник может проникнуть в защищаемый периметр.

Особенно важен пентест для компаний, в которых недавно появились новые решения и продукты. И вдвойне – если нарушение в них конфиденциальности, целостности и доступности информации может негативно повлиять на процессы организации.

Часто предприятия заказывают пентест, потому что этого требуют регуляторы. Но самая актуальная причина, по мнению экспертов, – зрелость процессов кибербезопасности в компании. Проще говоря, в какой-то момент аудитов ИБ и использования лучших практик становится недостаточно. Компания понимает – нужна реальная проверка безопасности. Именно тогда она решает заказать пентест.

Как подготовиться к первому пентесту

Неважно, что послужило причиной для обращения за услугой. Намного важнее то, как именно компания подойдет к процедуре, считают собеседники Cyber Media.

Если компания проводит пентест с нуля, эксперты советуют:

• уточнить модель нарушителя – желательно понимать, какие ресурсы наиболее критичны, и зафиксировать их как цели для подрядчика;
• понять и сформулировать цель тестирования – это позволит более прицельно отбирать исполнителей в зависимости от их опыта;
• определиться с методом тестирования (белый, серый или черный ящик), временными рамками и бюджетом проведения пентеста, а также с обязательными требованиями к отчетности;
• проверить наличие всех необходимых документов и соглашений, включая NDA и документацию, которая позволит подрядчику лучше понимать бизнес-процессы и риски компании;
• начать с внешнего тестирования – первые результаты помогут понять, сколько потребуется времени не устранение недостатков и нужно ли дальнейшее исследование.

Но прежде всего эксперты рекомендуют заранее привести в порядок ИТ-инфраструктуру. В частности, перед решением заказать пентест и поиском подрядчика нужно включить все доступные средства ИБ.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Пентест должен быть максимально похож на реальную атаку. С одной стороны, нужно подготовиться, а с другой – не обманывать себя. Если что-то не настроено, самое время привести все в порядок.

Чтобы пентест был максимально эффективным, нужно подготовить техническое задание. От того, насколько хорошо оно будет прописано, может зависеть результат всего исследования.

Как составить техзадание на пентест

Одно дело – когда компания планирует искать подрядчика через конкурс и размещать ТЗ в открытом доступе. В этом случае собеседники Cyber Media рекомендуют не рассказывать в документе об инфраструктуре компании. Это чувствительные данные, которыми могут воспользоваться хакеры. Лучше перечислить виды работ, которые необходимо провести в рамках пентеста.

Другой подход к поиску подрядчика – закрытый конкурс. Компания готовит ТЗ и рассылает его по списку доверенных исполнителей. 

Дмитрий Ильницкий

Руководитель направления Pre-Sale компании Бастион

В этом случае важно отразить размер инфраструктуры. Например, для внутренней следует указать количество хостов, наличие web-ресурса в виде корпоративного портала или базы знаний (SAP, 1C, Bitrix). Для внешней инфраструктуры — число IP-адресов и количество web-ресурсов, которые нужно протестировать. Также в ТЗ желательно заложить требования к специалистам провайдера услуг: наличие сертификатов Offensive Security и опыта работы в вашей сфере.

По его словам, составлять ТЗ и искать подрядчика должен специалист, который хорошо знает, в каком состоянии находится IT-инфраструктура компании. Такой сотрудник понимает,  какие бизнес-процессы через нее проходят и как осуществляется передача данных.

Евгений Родыгин

Директор департамента по информационной безопасности и специальным проектам IVA Technologies

Мы рекомендуем внести в договор требования по неразглашению и по границам/ограничению пентеста. Важно четко определить, что исполнителю можно и что нельзя, какие компоненты системы не должны затрагиваться, с какой информацией недопустимо ознакомление, какие методы пентеста будут применяться, точки атаки. Стоит также отразить этические вопросы и ответственность, согласование соисполнителей и т.п.

Также эксперт напоминает, что лучше зафиксировать в ТЗ отчетность, порядок проведения пентеста и заранее договориться о том, что является его результатом. Иначе придется запускать процесс заново.

Заказать пентест: выбираем исполнителя

Очевидные параметры – репутация и опыт подрядчика. Если компания занимается пентестом много лет и клиенты оставляют положительные отзывы, то ее можно рассмотреть.

Диана Соловьева

Руководитель отдела сетевых решений, систем информационной безопасности, систем совместной работы и обмена сообщениями ICL Services

Возможно, самое важное – убедиться, что выбранный подрядчик может обеспечить безопасность полученных данных. Раскрытие содержимого отчета по тестированию третьим лицам может привести к серьезным рискам для компании-заказчика. Стоит удостоверится, что выбранный подрядчик следует строгим правилам и процедурам по обеспечению конфиденциальности.

Также эксперты советуют проверять, есть ли у подрядчика лицензия ФСТЭК России на оказание услуги. А еще важно, чтобы все исполнители по проекту были штатными сотрудниками исполнителя.

Выводы

Пентест – услуга, которую предлагают сегодня десятки компаний в России. Выбрать исполнителя непросто, особенно если исследование нужно провести в первый раз. Тем не менее подход к поиску подрядчика ничем не отличается от других ситуаций. Зачастую достаточно положиться на опыт организации, ее репутацию и наличие сертификатов.

И наконец, чтобы заказать пентест и получить адекватный результат, стоит заранее перепроверить ИТ-инфраструктуру и документацию компании. Подготовка поможет не только выявить новые уязвимости, но и понять – готова ли вообще организация к внешним ИБ-исследованиям.