Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году

Pentest (пентест) – это один из передовых методов проверки защитных инструментов компании на наличие уязвимостей. Разнообразие видов и подходов позволяет комплексно проверить все элементы, от уровня подготовки рядовых сотрудников компании до скорости реагирования отдела ИБ на появление угрозы.

Пентест можно условно отнести к одной из легальных форм этичного хакинга. Сейчас о нем заговорили даже на государственном уровне. Например, Forbes сообщил о том, что Минцифры готовит правовую основу для деятельности баг-хантеров, которая на данный момент может трактоваться как попытка неправомерного доступа к информации.

Интерес к пентесту со стороны компаний

Типичный образ компании, которая обращается за услугами специалистов по тестированию на проникновение, выглядит следующим образом. Это крупная компания, которая обладает достаточно зрелой системой информационной безопасности.

Скорее всего, в ее распоряжении есть несколько программных продуктов: клиентские, внутренние корпоративные, мобильные приложения и прочее. Хороший пример – любой банк из российской большой пятерки. Правда, в их случае пентестинг – это не только жизненная необходимость, но и законодательная обязанность.

Произошедший в этом году всплеск интереса к тебе информационной безопасности сказался и на пентестинге. Однако, он не задал новый тренд, а лишь поддержал существующий – спрос на услуги по тестированию на проникновение планомерно растет последние несколько лет.

Александр Герасимов

CISO Awillix

По данным нашего тендерного отдела видна тенденция на увеличение запросов год от года:

• в 2019 г. – 150 закупок;
• в 2020 г. – 214 закупок;
• в 2021 г. – 279 закупок.

Прогнозируемые результаты в 2022 г. – 200-350 закупок. Возможно как снижение, так и увеличение закупок из-за кризиса. Традиционно, пик спроса на пентестинг приходится на 4 квартал.

По нашим субъективным ощущениям, как компании, которая специализируется на пентест-проектах — спрос на наши услуги и глобальный интерес к сфере кибербезопасности многократно вырос после 24 февраля и нет причин думать, что это скоро пройдет.

Весь мир открыто атакует IT-инфраструктуру российских компаний. Поскольку от технологий зависит вся кровеносная система бизнеса, кибер-инциденты приводят к настоящим катастрофам внутри компаний. Растущий тренд наблюдался и до кризиса: по мере увеличения участия IT в бизнесе, росла и поверхность возможной атаки.

Рост числа кибератак на 150%, по сравнению с 2021 годом, о котором 12 июля сообщил РБК, только подстегнет российские компании активнее интегрировать защитные инструменты в свое ПО.

Следующий после формирования защиты этап – это ее тестирование с целью доработки. И здесь без пентестеров обойтись будет крайне трудно.

Систематические «болячки», с которыми сталкивается пентестер

Появление систематических уязвимостей, которые актуальны для большого количества компаний, обусловлено двумя основными причинами:

1. Появление 0-day уязвимостей. Теперь уже классический пример – это Log4j, которая до сих пор встречается в архитектуре большого количества компаний.
2. Невозможность обновить софт. К имеющимся ранее поводам не обновлять софт прибавилась новая – это проблема с иностранными вендорами. Часть из них прекратила поддержку своих продуктов в России, другая – полностью ушла с отечественного рынка, а третья – может объявить об уходе в ближайшие дни.

Российские и иностранные подвержены одним и тем же факторам. При этом, есть небольшие региональные отличия, связанные как с качеством специалистов, так и с используемым ПО, но они не имеют критического влияния.

Яков Гродзенский

Руководитель направления информационной безопасности CTI

Результаты тестирования сильно зависят от уровня зрелости системы обеспечения информационной безопасности в компаниях.

Среди встречающихся проблем – неисправленная уязвимость в реализации протокола SMBv3 в ОС Windows 10 и Windows Server, из-за которой внешний нарушитель может выполнять произвольный код на удаленной системе, а также осуществлять атаки "отказ в обслуживании".

Также встречается уязвимость CVE-2019-0708, которая делает возможным удаленное выполнение кода при отправке злоумышленником специально сформированных сообщений RDP.

И до сих пор актуальна проблема социальной инженерии: процент открытия фишинговых писем в различных компаниях достигает очень высоких значений.

Еще один важный момент, это игнорирование некоторыми ИТ-компаниями необходимости контролировать безопасность разработки. Как правило, о том что хорошо работающее приложение на самом деле может привести к компрометации всей инфраструктуры, компания узнает уже во время хакерской атаки.

Юлия Воронова

Директор по консалтингу Positive Technologies

Российские компании отличаются ландшафтом ИТ-инфраструктуры, наличием некоторых ИТ-решений – есть локальные вендоры, которые более популярны в России, чем за рубежом. Некоторые из них не самые безопасные, и это оказывает свое влияние.

Но в целом принципиальных отличий нет. По моим экспертным оценкам, российские компании с точки зрения ИТ и ИБ более зрелые, чем компании в целом по миру. Это обусловлено тем, что у нас работают очень хорошие эксперты мирового уровня, несмотря на то, что мы постоянно говорим о дефиците кадров. Кроме того, ряд используемых в России систем строился позже, чем в США, Европе, Канаде. За счет этого вендорам удалось не совершить ошибок в архитектуре, учтя опыт зарубежных коллег при проектировании систем, то есть наши системы безопаснее by design.

При моделировании атак и расследованиях реальных инцидентов мы видим взломы, начинающиеся с фишинговых рассылок, в том числе массовых. Это становится частой проблемой, когда не выстроена защита от спама.

Также стоит отметить, что в большинстве случаев пробить периметр организации удается через веб-приложения. Веб-приложения с технической точки зрения всегда будут слабым звеном инфраструктуры, потому что используется очень много кастомного кода, который пишется компаниями-разработчиками для конкретных организаций и недостаточно хорошо проверяется.

Многие разработчики грешат тем, что у них не построен процесс безопасной разработки, они не анализируют приложения с точки зрения защищенности перед тем, как передать его заказчику, для них главное, чтобы «работало, а не было безопасно». Только сейчас практика ответственного отношения к безопасности и чистоте кода постепенно стала применяться среди разработчиков веб-приложений.

Невозможность создания абсолютной защиты конкурирует с другой парадигмой, которая актуальна для информационной безопасности: невозможность нивелировать влияние человеческого фактора.

Пентестинг и социальная инженерия

Современный пентестинг – это сочетание технических компетенций и психологии. В рамках проверки систем на уязвимость учитывается не только оснащение системы элементами безопасности и адекватность реакции безопасников, но и поведение обычных сотрудников.

В практике любой пентест-компании есть случаи, когда хорошо продуманная система защиты «падала» по вине отдельного сотрудника, который подключил к системе зараженную флешку или открыл письмо с вредоносным ПО.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности

Компании, как правило, боятся внешних злоумышленников, в связи с этим и заказывают внешний пентест. Однако, практика расследования инцидентов показывает обратное соотношение – примерно 75% инцидентов происходят из-за внутреннего нарушения, умышленного или по неосмотрительности.

В своих отчетах по проведенным испытаниям на проникновение пентестеры регулярно напоминают заказчикам, что в обеспечении информационной безопасности компании участвуют все сотрудники. И если не вести разъяснительную, профилактическую работу с каждым, кто имеет доступ к информационным системам – вероятность инцидента кратно возрастает.

Бочкарев Антон

Эксперт по информационной безопасности, сооснователь компании “Третья Сторона”

Внешний периметр компаний всегда находился и сейчас находится под постоянным вниманием со стороны злоумышленником. Происходят регулярные сканирования на уязвимости всего интернета в поисках легких точек входа. Поэтому защита внешнего периметра всегда будет первостепенной задачей компании, услуги по внешнему пентесту – наиболее популярны.

Если же периметр пробит, и злоумышленник попал во внутреннюю сеть компании, то по моему опыту около 80% атак закончатся полной компрометацией сети Заказчика. Защита внутреннего периметра это постоянный процесс исправления множества уязвимостей, а также вопрос профессионализма команды реагирования на инциденты.

По статистике большинство удачных пробивов периметра начинаются с удачной социо-технической атаки, например рассылки вредоносных писем. В таком случае одна ошибка сотрудника может позволить злоумышленнику попасть во внутреннюю сеть.

Именно поэтому в последние годы возросла популярность социо-технических тестирований на проникновение, а также программы обучения сотрудников основам информационной безопасности.

Чаще всего приоритеты проектов по пентесте в компаниях выглядят следующим образом: внешний пентест, социо-технический пентест, внутренний пентест.

Несмотря на уход иностранных вендоров и увеличение числа кибератак в 2022 году, самым слабым звеном в защите компании, в результате проведения тестирования на проникновение, остается именно рядовой сотрудник компании.