Скрытые угрозы становятся явными, или Полезный сервис пентест

Основные методы тестирования

Весь процесс «классического» тестирования по методу BlackBox/GreyBox проводится при моделировании действий внешнего или внутреннего нарушителя, с единственным отличием — отсутствием намеренных деструктивных шагов в отношении тестируемой инфраструктуры.

При определении зоны исследования и подхода к проведению тестирования берутся в расчет исходные сведения о системе (WhiteBox, BlackBox, GreyBox) и осведомленность персонала заказчика о проводимых испытаниях, а также учитывается положение специалиста, проводящего тесты, относительно сети системы (вовне, внутри).

Для оценки методом WhiteBox специалисту предоставляется полная информация о системе и действующих средствах защиты. Плюсы данного метода заключаются в том, что оценка будет произведена качественнее, нежели при проверке методом BlackBox. Недостаток — в том, что исполнитель тестирования будет находиться в более выгодной позиции, чем злоумышленник в реальной ситуации. 

При оценке методом BlackBox информация исполнителю не предоставляется либо дается в минимально необходимом объеме. Плюсы и минусы, соответственно, будут инверсны.

GreyBox — промежуточный вариант между двумя упомянутыми методами оценки. Он подразумевает возможность для тестирующего запрашивать необходимую информацию о системе для сокращения времени тестирования или повышения эффективности. Этот вариант чаще всего является приоритетным, так как его использование позволяет повысить продуктивность исследования за счет снижения времени на рутинную работу по поиску начальной информации. Однако проверка таким методом остается приближенной к моделированию действий злоумышленника.

Зачастую злоумышленник проникает во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. Большинство компаний к этому не готовы отразить такие нападения. Тестирование на проникновение помогает предприятию выстроить эффективные процессы обеспечения безопасности.

Наиболее эффективным является так называемый Red Teaming — симуляция таргетированной атаки (APT). Такого рода работу можно сравнить с войсковой операцией. Кроме того, это прекрасная возможность проверить, насколько эффективно персонал компании умеет отражать множественные, порой довольно жесткие атаки, в том числе на несколько объектов инфраструктуры одновременно. 

Пентест: своими силами или аутсорсинг?

Часто компании предпочитают проводить тестирование на проникновение самостоятельно, делегируя эту роль ИТ- или ИБ-специалистам. Однако их компетенций, как правило, недостаточно для эффективного исследования. Не обладая экспертными знаниями в практическом анализе защищенности всей инфраструктуры, штатный специалист не может выполнить пентест с тем же качеством, что и специализированная экспертная группа. Исполнитель таких задач должен обладать глубокими знаниями в области практической ИБ, иметь узкую специализацию в сфере веб-безопасности, безопасности АСУ ТП, социальной инженерии и т.д. По опыту, такой квалификацией располагают только внешние подрядчики. Так, нашим пентестерам в 90% случаев удается получить доступ к критичной информации компании или инструментам воздействия на ее бизнес-процессы. 

В числе сильных сторон специализированных экспертных групп можно также отметить аккумулируемый опыт проведенных работ, незамыленность взгляда и непредиктивный подход, что очень важно при тестировании по методу BlackBox. Например, в одной компании сотрудники службы ИБ руководствовались неполной и устаревшей схемой сетевой архитектуры. Во время проведения тестов были выявлены несколько сегментов сети, оставшихся без внимания ИБ‑специалистов и содержащих критичные данные. 

Есть и еще один положительный момент в привлечении внешнего подрядчика: при таком подходе не придется перестраивать область деятельности ваших сотрудников и навязывать им выполнение несвойственных обязанностей. 

Компании, в которых ИТ — это сопровождение бизнеса, а не основной актив, не могут себе позволить иметь в штате специалистов по тестированию на проникновение. Конечно, это аргумент в пользу привлечения внешнего подрядчика. Но, с другой стороны, против такого решения выступает сама парадигма ИБ.

Информационная безопасность — это не статика, это процесс.  И для поддержания этого процесса гораздо лучше иметь onside-команду для проведения тестирования на проникновение. Как разрешить эту дилемму? Например, для регламентного проведения работ в определенный промежуток времени — привлекать внешнюю команду, а для быстрого реагирования — CSIRT, включающую специалистов различных направлений ИБ, в том числе и пентестеров.

Как устроены пентесты

Множество критичных уязвимостей выявляются на этапе сбора информации — при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию и внешний/внутренний пентест, является наиболее эффективным — большинство пользователей атакуемой системы восприимчивы к социотехническим атакам. 

Основные направления тестирования:

• тестирование на проникновение для внешнего периметра;
• тестирование на проникновение для внутреннего периметра;
• тестирование на проникновение для веб-приложений;
• тестирование беспроводных сетей;
• использование социальной инженерии;
• анализ мобильных приложений.

Результаты работы наших пентестеров за II-IV кварталы 2018 г.

• Специалисты Лаборатории практического анализа защищенности компании «Инфосистемы Джет» выявили критичные и сверхкритичные уязвимости в компаниях электронной коммерции, на предприятиях финансового и промышленного сегментов.
• Специалистам удалось получить доступ в управляющие сегменты трех АСУ ТП и полностью захватить их инфраструктуру. В одном из случаев доступ в технологический сегмент был осуществлен из сети Интернет.
• В ходе одного пентеста были скомпрометированы более 1000 АРМ и 200 серверов.
• Воспользовавшись уязвимостью в системе ДБО, специалисты лаборатории смогли получить данные клиентов крупного банка.
• В четырех пентестах были найдены пароли к учетным записям сотрудников ИБ-службы и топ‑менеджмента компании.
• В двух случаях специалисты Лаборатории практического анализа защищенности выявили логические уязвимости, с помощью которых можно было производить любые манипуляции с банковским счетом, в том числе переводить на него средства со сторонних счетов.
• 70% веб-сервисов не выдержали тестирования с применением продвинутых техник фаззинга и значительно замедлили свою работу — вплоть до остановки сервисов и полной деградации инфраструктуры.
• Реализованные социотехнические атаки позволили получить: критичные данные для входа в сети организаций; финансовую отчетность компании с оборотом свыше 1 млрд руб.; учетные и личные данные топ-менеджмента различных компаний; доступ к корпоративным порталам и т.д.
• В 10% случаев доступ к ресурсам компании был получен через third-party-сервисы (при согласовании с заказчиком) или на этапе сбора информации из открытых источников.
• 50% атак на беспроводные (в том числе гостевые) сети компаний открывали полный доступ к внутренней сети компании.

Основные этапы

• Сбор информации — поиск данных об организации и сотрудниках в открытых источниках, социальных сетях, на форумах и блогах.
• Инвентаризация ресурсов, поиск технической базы — определение существующих ресурсов, приложений и технических средств защиты.
• Анализ уязвимостей и угроз — обнаружение уязвимостей в системах безопасности и приложениях с применением набора инструментов и утилит, как коммерческих и публичных, так и разработанных непосредственно для конкретной цели.
• Эксплуатация и обработка данных — имитация реальной кибератаки с целью получения сведений о любых уязвимостях для дальнейшего анализа ситуации и расширения поверхности атаки.
• Формирование отчета — оформление и презентация итогов тестирования с выводами и предложениями по улучшению существующей системы безопасности.

Что в результате?

Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно, и метод «кувалды» никто не отменял), а в использовании результатов подобных проверок для совершенствования системы управления информационной безопасностью. Безусловно, этого можно достичь только при правильной интерпретации полученных данных и при широком охвате возможных и наиболее вероятных вариантов атаки. Что такое «правильная интерпретация результатов пентеста»? Помимо оперативного устранения уязвимостей, заказчик подобных услуг должен выстроить процессы СУИБ таким образом, чтобы предотвратить появление атак в дальнейшем.

Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых потенциальным злоумышленником действий в условиях, максимально приближенных к реальности. Это позволяет выявить наиболее уязвимые места в информационной системе, проанализировать причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом.

Многие останавливаются на этапе «бумажной безопасности» — формируют пакет необходимых документов по ИБ, не подозревая при этом о фактических проблемах в системе безопасности предприятия и о тех последствиях, которые возникнут при использовании таких уязвимостей злоумышленниками.

Пентест показывает реальное состояние защищенности, которое, к сожалению, в большинстве случаев кардинально отличается от описанного в документах. 

Результат пентеста — экспертное заключение с перечнем всех выявленных уязвимостей и детальным планом действий по их устранению и обеспечению защиты ресурсов компании от атак. 

Мы настоятельно рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых законодательством или устанавливаемых регуляторами, а обязательно проверить систему в «боевых условиях», что позволит максимально снизить риски компрометации вашей инфраструктуры. Важно, чтобы такой процесс был непрерывным. Для снижения рисков необходимы регулярные проверки защищенности инфраструктуры и ее критичных элементов.