ИТ-портал компании «Инфосистемы Джет»

Мы беседуем с Александром Мялковским и Андреем Ковалевым - экспертами по информационной безопасности компании Яндекс.Деньги

Мы беседуем с Александром Мялковским и Андреем Ковалевым - экспертами по информационной безопасности компании Яндекс.Деньги

Характерны ли для сегодняшних тестов на проникновение какие-либо общие тенденции? Чего стоит опасаться в первую очередь? В каких ситуациях пентесты оборачиваются для компании бессмысленной тратой денег? Обо всем этом рассуждают наши собеседники из Яндекс.Денег: Александр Мялковский, начальник отдела информационной безопасности, и Андрей Ковалев, начальник службы информационной безопасности и противодействия мошенничеству.

J.I.: Когда – в каких именно ситуациях – компании стоит задуматься о проведении пентес­тов? Или их необходимо проводить регулярно, независимо от текущего положения дел?

А.К.: По моему мнению, пентесты нужно проводить тогда, когда руководителю направления информационной безопасности кажется, что все хорошо, угрозы предотвращены, уязвимости закрыты и можно спать спокойно. Если о незакрытых уязвимостях известно, смысла в пентесте нет, и так понятно, что делать.

А.М.: Пентест – один из видов оценки соответствия. Поэтому его необходимо проводить в двух случаях. Во-первых, при изменении актуальности угроз или появлении новых. Во-вторых, при изменении информационной инфраструктуры и системы защиты. В первом случае имеет смысл проводить пентесты, если в компании существуют процессы поддержания системы защиты в актуальном состоянии, во втором – после внедрения новых систем (в том числе систем защиты информации) или их модернизации. Иначе пентест – практически бессмысленная трата денег: даже обязательный периодический пентест (например, по PCI DSS) станет простой формальностью.

J.I.: Какие виды внешних угроз информационной безопасности наиболее актуальны и опасны в настоящий момент?

А.К.: Для нас угрозы принципиально не поменялись – это все те же попытки получить несанкционированный доступ, заблокировать работу системы. Стоит, наверное, говорить о возросших возможностях злоумышленников, которые могут атаковать инфраструктурные элементы, которым безопасники «по умолчанию» доверяют, – корневые DNS-серверы, магистральный роутинг и т.д. Соответственно, нет неуязвимых сервисов и нельзя рассчитывать на других – те же Amazon Web Services, Google могут быть скомпрометированы (привет от NSA), оказаться недоступны. Также я с осторожностью смотрю на SMS в качестве механизма аутентификации – слишком сильно на него все полагаются, а с развитием проектов вроде OpenBTS можно легко представить себе способы перехвата SMS. Поэтому, даже используя SMS-защиту для кошельков, мы одновременно разрабатываем более безопасные способы защиты.

А.М.: Угрозы зависят в первую очередь от объекта защиты и его свойств. По сути угрозы в последнее время сильно не поменялись, увеличились только риски их реализации, которые можно было бы спрогнозировать и ранее. С учетом уменьшения стоимости средств электроники, вычислительных мощностей и объемов кода можно выделить появление нескольких тенденций. Первая – атаки на гипервизоры облачных провайдеров. Вторая – увеличение вирусной активности на мобильных устройствах, по сути уже не отличающихся от обыкновенных ПК. И третья – атаки на каналы связи для прослушивания (Wi-Fi-сети, сети сотовых операторов). Здесь прослеживаются общие цели злоумышленников – доступ к конфиденциальным данным или завладение ресурсами для дальнейшего развития атаки.

J.I.: Какие уязвимости, характерные для ПО и ОС, можно назвать классическими? И наоборот, есть ли среди уязвимостей «новички», появившиеся за последние год-два?

А.К.: Заметно, что в последнее время стали публиковаться уязвимости в старых, давно используемых продуктах, пример – тот же OpenSSL. Это еще раз напоминает, что «верить нельзя никому», нет волшебной «серебряной пули», необходимо строить многоуровневую систему защиты и всегда предполагать отказ в самой его худшей форме в любом месте.

А.М.: Наверное, все уязвимости можно в той или иной мере назвать классическими, так как они зависят от технологий и способов их реализации. Из нового, пока что существующего в лабораторных условиях, можно выделить уязвимости среды виртуализации, позволяющие выйти за границы, определяемые гипервизором.

J.I.: Зависят ли особенности проведения пентестов от направления деятельности компании?

А.М.:От направления деятельности компании зависят виды обрабатываемой конфиденциальной информации и сами способы ее обработки. В большей степени это накладывает отпечаток на социотехнические пентесты, в меньшей – на внутренние и внешние.

J.I.: Какие тенденции, на Ваш взгляд, намечаются в проведении тестов на проникновение?

А.М.: Тенденции в большей степени зависят от регуляторов. На мой взгляд, основная масса заказчиков проводит пентесты в рамках комплаенса.

J.I.: Возможно, какие-либо закономерности прослеживаются при использовании облачных сервисов, принципиально новых сценариев атак?

А.К.: Как я уже говорил, если компания полагается даже на крупный и серьезный облачный сервис, необходимо иметь ввиду, что и он может оказаться в какой-то момент недоступным или скомпрометированным. Нельзя рассчитывать на их неуязвимость, необходимо включать в свою картину мира возможность их компрометации и иметь BCP (Business Continuity Planning), позволяющий продолжать работу без облаков.

А.М.: Использование облачных сервисов ведет к усложнению системы в целом (чужая неподконтрольная инфраструктура, требования к каналам связи, юридические особенности). Чем сложнее система, тем меньше ее надежность, тем больше каналов утечки информации.

J.I.: Как Вы полагаете, существует ли панацея от внешних угроз, например от DDoS?

А.К.: Нет, конечно. Нельзя предотвратить DDoS, который окажется более мощным, чем ваша инфраструктура защиты. Здесь важно, знаете ли вы, что будете делать, когда атака случится. Мне кажется, сейчас правильнее говорить не только и не столько о предотвращении угроз, сколько о реакции на их реализацию, совмещении работы по инцидентам безопасности с разработкой планов обеспечения непрерывности бизнеса.

А.М.: Повсеместный переход на риск-ориентированное построение систем защиты, на мой взгляд, наглядно демонстрирует, что сообщество специалистов по информационной безопасности четко осознает – панацеи не существует.

J.I.: Как Вы оцениваете зрелость направления противодействия внешним угрозам в России в сравнении с Западной Европой и США?

А.М.: Уже больше 10 лет в России идет попытка перейти от «Оранжевой книги» (РД ФСТЭК) к «Общим критериям». Это демонстрирует наше значительное отставание в подходах и низкую эффективность системы образования в области ИБ. По сути, российских специалистов, хорошо разбирающихся в общих критериях, можно по пальцам пересчитать.

J.I.: Большое спасибо, что нашли время побеседовать с нами!

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su