Ведущий
инженер отдела информационной безопасности в компании Абак-2000
Выбор между Red Team и пентест часто ставит бизнес в тупик. Компании стремятся получить максимальную отдачу от инвестиций в информационную безопасность, но не всегда понимают разницу между этими подходами. Между тем, средняя стоимость Red Team может в два-три раза превышать затраты на стандартный пентест. Однако действительно ли более дорогой вариант является лучшим подходом к анализу защищенности? Сергей Антонов, ведущий инженер отдела информационной безопасности в компании Абак-2000, специально для Cyber Media расскажет, какой подход принесет бизнесу больше пользы при меньших затратах.
Работая в компании, которая занимается проектами для самых разных отраслей — от тяжелой промышленности до финансового сектора — часто сталкиваюсь с проблемами, связанными с кибербезопасностью. Практика показывает, что компании нередко подходят к вопросам ИБ «спустя рукава», отдавая их на субподряд ближе к концу проекта. А это приводит к многочисленным переделкам и задержкам.
Проблема усугубляется тем, что генподрядчики зачастую не обладают лицензиями и компетенциями в области кибербезопасности, а заказчики не всегда могут оценить качество предложенных решений. Многие компании вспоминают о безопасности лишь тогда, когда сталкиваются с реальными угрозами — например, после штрафов или хакерских атак. Это свидетельствует о низком уровне зрелости. Однако как пентест, так и Red Team могут существенно повысить этот уровень — вопрос лишь в том, что выбрать для конкретной ситуации.
Помимо классических подходов к тестированию, современные компании нередко обращаются к программам Bug Bounty. Этот подход позволяет привлекать независимых исследователей безопасности со всего мира, которые получают вознаграждение за обнаруженные уязвимости. Однако Bug Bounty требует зрелых процессов обработки сообщений об уязвимостях и серьезных компетенций для валидации находок.
Даже опытные специалисты не всегда видят тонкие различия между тестированием на проникновение и Red Team. Разница кроется в подходе к выявлению уязвимостей и оценке уровня ИБ компании.
Основная задача Red Team — смоделировать реальную кибератаку, чтобы выявить критические уязвимости, оценить подготовленность сотрудников к реагированию на угрозы. В свою очередь, пентестеры проводят строго регламентированное тестирование, направленное на выявление известных уязвимостей в системе. Но у каждого подхода свои преимущества и недостатки.
Редтиминг — это процесс выявления критических уязвимостей и оценка подготовленности сотрудников к реагированию на угрозы. Команда Red Team действует, пытаясь остаться незамеченной, используя всевозможные техники и сценарии, характерные для реальных атак. Основной акцент здесь сделан на минимизации следов и оценке реакции Blue Team (внутренней команды ИБ), что делает процесс максимально приближенным к реальным условиям. Команда ИБ заказчика может даже попытаться остановить или воспрепятствовать действиям Red Team, если она обнаружит попытки проникновения.
Пентестеры действуют в заранее оговоренных рамках и по четкому плану, согласованному с заказчиком. Отдел ИБ клиента в курсе всех действий, знает о времени проведения теста и активно сотрудничает с пентестерами. Это упрощает процесс и помогает провести «техническую диагностику системы», выявить конкретные уязвимости и дать рекомендации по их устранению. Основное условие — никакой скрытности, сотрудничество с заказчиком.
Иными словами, если Red Team стремится проверить, насколько эффективно компания сможет противостоять реальной угрозе в условиях неизвестности, а пентест ограничен технической проверкой конкретных элементов системы, а взаимодействие с клиентом более открытое и прозрачное.
В реальности, обе стратегии — Red Team и пенетст — преследуют разные цели, и выбор между ними зависит от задач компании.
|
Red Team |
Комбинирует множество различных методов: социальная инженерия, фишинг, физический доступ, и применение методологий вроде MITRE ATT&CK. Цель — проверить, как быстро и качественно реагирует Blue Team. Работа в условиях реальной среды, без отключения средств защиты. Возможно активное противодействие со стороны клиента. Если Red Team обнаружен, проект завершается. Чаще всего о его проведении знает только начальник отдела ИБ и глава компании. Целью является в первую очередь обучение ИБ-отдела мониторингу и реагированию на инциденты, также проверка уровня осведомленности в вопросах ИБ сотрудников. Направлен на проверку процессов. |
|
Пентест |
Проходит в контролируемой среде, в заранее оговоренных рамках и по четкому плану, согласованному с заказчиком. Целью является нахождение большего количества уязвимостей, предоставление путей их эксплуатации и рекомендаций по устранению. Направлен на поиск и устранение известных уязвимостей. |
Чтобы лучше продемонстрировать различия, приведу пример из собственного опыта.
В ходе одного из проектов нам поручили провести оценку безопасности информационной системы компании. На этапе внешнего тестирования нам удалось скомпрометировать сеть DMZ, а на этапе внутреннего тестирования были выявлены уязвимости, позволяющие захватить лес Active Directory. По завершении пентеста во время общения с заказчиком было предложено в следующий раз провести тестирование с использованием социальной инженерии, как вектора для проникновения во внутреннюю сеть из внешней среды.
Сначала мы организовали фишинг-кампанию, отправив заранее подготовленные письма сотрудникам компании, содержащие макросы на VBA и shell-код для загрузки агентов управляющего сервера C2. Это было необходимо, поскольку PowerShell-скрипты были заблокированы на большинстве хостов обычных пользователей, в отличие от VBA, который использовался сотрудниками компании для автоматизации составления отчетов.
Затем использовали полученный доступ для перемещения по сети. Часть учетных данных хранилась в файлах на рабочих столах сотрудников, а другая — в хранилище паролей. В отличие от пентеста, в рамках которого мы ограничивались выявлением уязвимостей систем заказчика, в рамках работы Red Team мы продемонстрировали, как злоумышленник может использовать человеческий фактор для входа во внутреннюю сеть.
Результаты Red Team оказались более впечатляющими и убедительными для руководства: нам удалось легко пробиться из внешней сети во внутреннюю и показать реальные риски.
Пентест может оказаться более предпочтительным и выгодным выбором по ряду причин. Он помогает глубже понять реальные уязвимости системы, выявляя как очевидные, так и скрытые проблемы. Выбор между пентестом и редтимингом зависит не только от бизнес-целей, но и от внешних факторов — в том числе, требований регуляторов и текущей обстановки в сфере информационной безопасности. И тут важно учитывать влияние законодательства, нормативов и процессов импортозамещения. В общем, иногда «решает» не только бизнес.
При сравнении стоимости различных подходов важно учитывать их особенности. Если пентест имеет фиксированную стоимость за определенный объем работ, а Red Team оценивается по затраченному времени и сложности сценариев, то Bug Bounty программы предполагают выплаты за каждую подтвержденную уязвимость. Это делает бюджетирование Bug Bounty менее предсказуемым, но может быть эффективным дополнением к основным методам тестирования безопасности.
Хотя многие компании стремятся обезопасить свою инфраструктуру, они не всегда подходят к этому основательно. Например, часть уязвимостей удается обнаружить (из года в год) с помощью простой перепроверки результата прошлых тестирований.
1. Уязвимости, связанные с
отсутствием обновлений в системах, которые могут привести к повышению
привилегий или удаленному выполнению произвольного кода.Такие уязвимости могут быть использованы злоумышленниками для получения
несанкционированного доступа к системам или выполнения вредоносных действий.
2. Использование стандартных логинов и паролей для доступа к административным интерфейсам — это одна из распространенных проблем безопасности, которая открывает двери для атак, поскольку эти данные часто известны злоумышленникам.
3. Использование значения SNMP community string по умолчанию — это также представляет собой риск безопасности, поскольку стандартные значения часто могут быть угаданы злоумышленниками и использованы для получения доступа к конфиденциальной информации.
4. Отключенный SMB-signing, что позволяет проводить атаку SMB-relay. В настройках SMB-сервера доступны три опции, касающиеся подписывания SMB:
Безопасность данных обеспечивается только в случае, когда подписание SMB включено и обязательно для всех клиентов. В противном случае злоумышленники могут использовать уязвимости для перехвата и манипулирования трафиком.
Когда речь заходит о стоимости услуг по тестированию безопасности, ситуация оказывается неоднозначной. На рынке существует значительный разброс цен — от нескольких сотен тысяч до нескольких миллионов рублей за схожий объем работ. При этом качество выполнения не всегда коррелирует со стоимостью. Разница в ценовых предложениях на тендерах может варьироваться в 2-4 раза при идентичном техническом задании, что говорит скорее о непрозрачности рынка, чем о реальной разнице в эффективности тестирования.
Практика показывает, что существует несколько аспектов, подталкивающих компании к проведению оценки безопасности:
Без проведения тестирования на проникновение многие крупные клиенты, особенно западные компании, просто не рассматривают поставщика как потенциального партнера. Это своего рода входной билет на определенные рынки.
Главная проблема отрасли — не столько цена, сколько сложность оценки качества выполненных работ. Заказчик может получить минималистичный отчет даже при высокой стоимости контракта, и без специальных знаний проверить добросовестность исполнителя практически невозможно.
Для минимизации рисков заказчик может:
А еще в текущих условиях импортозамещения особое внимание стоит уделять опыту работы пентестеров с отечественными решениями. Тестирование новых для рынка продуктов требует дополнительной экспертизы и понимания специфических уязвимостей, характерных для российских разработок.
- Запрашивать детальную методологию тестирования на этапе выбора подрядчика;
- Требовать промежуточные отчеты и артефакты работы;
- Собирать логи от используемых инструментов;
- Привлекать собственных специалистов по ИБ для оценки качества работ.
Выбор между Red Team и тестированием на проникновение зависит от текущего уровня зрелости информационной безопасности компании и ее целей. Red Team становится эффективным инструментом для организаций, уже имеющих собственную SIEM-систему и укомплектованный штат ИБ-специалистов. В этом случае редтиминг позволяет проверить реальную готовность команды к отражению атак и оценить компетентность сотрудников в условиях, максимально приближенных к реальным инцидентам.
Пентест остается более универсальным решением, особенно для компаний, находящихся на начальных этапах построения системы информационной безопасности. Этот подход сфокусирован на поиске максимального количества уязвимостей и предоставлении четких рекомендаций по их устранению, что помогает создать прочный фундамент для дальнейшего развития системы защиты.
Каждый из подходов имеет свои преимущества, и окончательное решение должно приниматься исходя из конкретных потребностей и возможностей вашей компании.
Природные катаклизмы, пожары или кибератаки на ЦОД могут привести к авариям в его инженерных системах, а значит к простоям и убыткам в бизнесе.
Кибербезопасность всегда развивается и трансформируется — автоматизация, ИИ и новые регуляторные требования формируют и совершенно иной рынок труда.
Успешный переход на аутсорсинг ИБ – это не просто смена парадигмы мышления, а стратегическое партнерство, способное усилить имеющиеся возможности киберзащиты.
Почтовый сервис Hotmail появился почти 30 лет назад и стал символом ранней эры интернета.
Поиск человека по фотографии давно перестал быть уделом спецслужб.
С ростом автоматизации бизнес-процессов появляются все новые типы рисков: компрометация API-интеграций, ошибки в конфигурации облачных сервисов, несанкционированные обращения к базам данных и утечки через внешние модули — считает директор по разработке компании Neuro.
DNS-серверы без преувеличения можно назвать критически важным элементом современной ИТ-инфраструктуры.
Безопасность цифровых документов и учетных записей не ограничивается рамками паролей.
Кибербезопасность в банковском секторе — это всегда про масштаб и сложность.
Для многих слово «даркнет» звучит как название подпольного клуба, куда ходят только хакеры и преступники.
