Тестирование на проникновение: инструкция к действию

В ближайшие годы глобальный рынок тестирования на проникновение продемонстрирует рост на 12,2 % и вырастет до 3 млрд долларов к 2026 году. Главные факторы, которые будут способствовать популярности данной услуги – ужесточение и расширение нормативных требований регуляторов и увеличение количества кибератак, приводящих к финансовым и репутационным потерям. Регулярное тестирование на проникновение (пентест) позволяет своевременно найти уязвимые места в компании. Как осуществлять его правильно, расскажут эксперты группы компаний ICL.

Для повышения защищенности информационных ресурсов от целенаправленных атак отраслевые регуляторы (ФСТЭК РФ, ФСБ РФ, НКЦКИ) и отраслевые министерства выпускают множество регламентов, бюллетеней и рекомендаций. Неподготовленному специалисту разобраться, а тем более выполнить все требования, сложно. Чтобы не экспериментировать с безопасностью компании, стоит обратиться к профессиональным системным интеграторам с лицензиями ФСТЭК и ФСБ. Но если такой возможности нет, можно следовать следующей инструкции или плану действий по реализации требований регуляторов для снижения угроз ИБ.

План действий

В первую очередь, на предприятии нужно организовать рабочую группу, в которую должны входить компетентные специалисты, ответственные за информационную безопасность и за бесперебойную работу инфраструктуры предприятия. Эта же группа будет необходима для реагирования на инцидент, в случае реализации какой-либо угрозы или атаки против компании. Формирование рабочей группы и положение о ее работе должно быть зафиксировано в приказе, а также должен быть назначен специалист, ответственный со стороны компании за взаимодействие с регуляторами.

С учетом выпущенных рекомендаций и требований в области ИБ, на следующем этапе разрабатывается план мероприятий, которые необходимо реализовать на предприятии. Это план также кладется «на бумагу» и назначается ответственный за его реализацию.

Следующим этапом необходимо провести анализ защищенности и выявление уязвимостей, чтобы зафиксировать текущее положение дел на предприятии и определить уровень защищенности. По результатам анализа формируется отчет о текущем состоянии защищенности и даются рекомендации, которые должны быть реализованы на следующем этапе непосредственного выполнения организационных и технических мер в соответствии с планом.

После выполнения этих действий производится повторный анализ защищенности для того, чтобы подтвердить, что мероприятия действительно были выполнены успешно.

Важно отметить, что в процессе всей этой работы назначенный ответственный специалист должен постоянно быть на связи с регуляторами, уведомлять их о проводимой работе, а по завершению доложить, что все мероприятия были выполнены в установленные сроки.

Анализ защищенности

В зависимости от организации и поставленных целей этапы по анализу защищенности будут отличаться. Но в любом случае на первом этапе всегда будет происходить сбор исходных данных, утверждение объема работ и границ проведения тестирования. В частности, на этом этапе также определяются внешние IP-адреса и веб-сайты, которые будут сканироваться, и обозначаются сроки, в которые может проводиться тестирование. Согласовать IP-адреса и закрепить их документально также важно для того, чтобы не попасть под преследование со стороны правоохранительных органов, а для объектов КИИ сам факт проведения анализа защищенности должен быть обязательно согласован с регулятором.

На время проведения анализа защищенности должен быть выделен ответственный специалист со стороны компании для того, чтобы в случае инцидента, который может произойти во время сканирования, он мог вовремя отреагировать. Бывают случаи, когда сканирование необходимо выполнять только в ночное время, в так называемые технологические окна, без влияния на существующую инфраструктуру.

Как происходит само внешнее тестирование? Простое сканирование уязвимостей осуществляется с помощью доступных автоматизированных средств, и при этом является достаточно действенным инструментом. Во время этого сканирования мы используем те же самые утилиты и сканеры уязвимостей, которые потенциально могут использовать злоумышленники. Это могут быть утилиты, доступные на теневом хакерском рынке, а также сертифицированные средства сканирования, которые признаются отечественными регуляторами. В результате сканирования становится ясным ландшафт, который доступен злоумышленнику.

Почему важно делать сканирования? Потому что это старт для атаки. Злоумышленники с небольшим уровнем компетенции будут использовать те же самые сканеры. Если в результате сканирования уязвимостей они не найдут ничего, за что можно зацепиться, то возможно дальше (если ваша организация не является целью) и не пойдут. А если у вас все открыто и доступно и хакерам будет, за что зацепиться, им станет интересно, и они будут развивать атаку дальше. Поэтому сканирование уязвимостей хоть и малозатратное решение, но приносит существенный результат.

При желании можно провести эксплуатацию найденных уязвимостей для того, чтобы показать, что найденная уязвимость действительно несет в себе большие угрозы.

Кроме внешнего тестирования можно также провести внутреннее тестирование на проникновение и посмотреть, как работает служба информационной безопасности внутри компании и выявить другие виды нарушений ИБ. Например, проверить корпоративные wi-fi сети или сделать рассылку фишинговых писем.

Бежать за новыми или использовать имеющиеся средства защиты?

Быструю покупку и внедрение новых решений затрудняет ряд факторов: санкции со стороны западных вендоров и сложность в выборе действительно эффективного отечественного решения. Поэтому нужно использовать на полную мощность те средства, которые уже есть на вашем предприятии, и выполнить харденинг всех средств (средств межсетевого экранирования, криптографической защиты, антивирусных средств, внутренних регламентов по парольной политике, удаленного доступа). Работа с этими инструментами в большинстве случаев позволяет закрывать большинство необходимых мер по обеспечению информационной безопасности.

Необходимо также производить взаимодействие и обмен опытом внутри отрасли. Например, в ГК ICL для этого заключают с заказчиками соглашение о взаимодействии по вопросам противодействия компьютерным атакам. Это соглашение ни к чему не обязывает с финансовой точки зрения, но оно позволяет обмениваться информацией о происходящем в мире компьютерной безопасности компаний и отслеживать тенденции. В рамках этого соглашения также возможно проведение облегченных версий сканирования уязвимостей.