Что такое пентест
Пентест — это комплекс мероприятий по взлому корпоративного периметра информационной безопасности. Атака осуществляется силами специализированной внешней команды, теми же методами и инструментами, которые используют хакеры.
Пентест позволяет:
- оценить общую эффективность противодействия атаке, которая складывается из функционирования средств защиты информации, компетенций команды, отлаженности ИБ-процессов;
- определить слабые места в инфраструктуре;
- наметить векторы, по которым компанию могут атаковать реальные хакеры;
- дополнить объективными данными парадигму киберрисков, с которой работают корпоративные айтишники и «безопасники»;
- ликвидировать пробелы, выявленные в ходе пентеста, для укрепления реальной безопасности.
Ниже мы рассмотрим наиболее очевидные шаги по подготовке к пентесту. А также перечислим действия, от которых рекомендуем воздержаться.
Как подготовиться к тестированию на проникновение
Определить модель злоумышленника
Если ваша организация проходит проверку по требованию регулятора, сложностей с выбором модели злоумышленника нет. В положениях Банка России и ГОСТе Р 57580 нет указаний, от какой угрозы нужно защищаться: внутренней или внешней, поэтому, как правило, многие компании выбирают только проверку внешнего периметра. Но лучше сфокусироваться на отражении всех атак. По умолчанию предстоит защищаться от хакера со средними компетенциями и относительно скромными техническими возможностями.
При внешнем пентесте очевидно, что его усилия будут направлены на нарушение работы ресурсов, которые так или иначе «смотрят» в Интернет. Это IP-адреса и домены, на которых размещены, например, системы дистанционного банковского обслуживания, а также ряд других вспомогательных сервисов, например, мобильные приложения. Для проверки стойкости мобильных приложений ко взлому пентестеру обычно требуются их необфусцированные экземпляры на конкретных платформах (iOS или Android), а также документация к API с описанием конечных эндпоинтов.
Если компания решила сделать пентест «для себя» и не скована директивами регуляторов (например, Банка России), то можно выбрать: провести исследование защищенности от внешней агрессии или от внутреннего злоумышленника. Или заказать пентест для изучения стойкости при атаках разной природы. Для конкретной модели и для их сочетаний есть свои решения.
В случае если бизнесу важно защищаться от деструктивных действий извне, поверхность атаки будет аналогична «регуляторному» сценарию. Для моделирования внутренней угрозы необходимо заранее подготовить VPN-соединение и учетные записи тестового рядового сотрудника, например, в Active Directory. Эти данные будут переданы специалисту по тестированию на проникновение в качестве первоначальных условий.
Можно проверить и другую модель злоумышленника, когда пентестеру не будет предоставлено ничего, кроме доступа в сетевой периметр компании. Или, наоборот, будет предоставлена целая виртуальная машина с Kali Linux. Это даст пентестеру значительно больше возможностей, а заказчику — более комплексное понимание, насколько он уязвим в рамках сценария атаки изнутри.
В любом случае выбирать методику и сценарии внутреннего пентеста стоит до заключения договора со специализированной организацией, проводящей тестирование на проникновение.
Обновить и пропатчить ПО
Вендоры программного обеспечения выпускают регулярные обновления не просто так. Практически каждый апдейт содержит улучшения, так или иначе направленные на повышение стойкости ко взлому и на безопасное применения продукта. Поэтому перед пентестом имеет смысл убедиться, что весь применяемый софт обновлен, а общеизвестные уязвимости закрыты соответствующими патчами.
Знать структуру собственного ИТ-ландшафта
Все сервисы, порты и IP-адреса, которые «смотрят» в интернет и не только, принадлежат конкретным единицам в корпоративной инфраструктуре. Важно понимать набор этих компонентов, чтобы не только защитить их, но и иметь план Б на случай, если хакеры обойдут защиту и продолжат атаку, используя эти участки инфраструктуры.
Зачистить тестовые среды
Нередко разработчикам оказывается удобнее создавать новую функциональность и тестировать код за пределами ИТ-периметра организации. Код и настройки тестовых сред могут содержать данные о конфигурациях конкретных участков инфраструктуры. Это ценная информация для злоумышленников, которую к тому же легко получить. Стоит убедиться, что в публичных облаках и на сервисах типа GitHub нет подобных данных.
Обеспечить микросегментацию
Одно из ключевых правил подхода Zero Trust хорошо работает при противодействии внутренним злоумышленникам. Правильная сегментация сети и межсетевое экранирование существенно сокращают поверхность атаки, поскольку разрешают пользователям внутри сети доступ к конкретным сервисам и данным.
Что негативно повлияет на проведение пентеста
Выше мы перечислили ряд конструктивных активностей, которые совершенно точно сработают на укрепление информационной безопасности в компании, даже если речь не идет о подготовке к пентесту.
Однако считаем важным предостеречь от мероприятий, которые могут негативно повлиять на получение объективных данных о защищенности организации. Все они так или иначе связаны с изменением ИБ-статуса «в моменте» и предпринимаются специалистами кибербезопасности, чтобы показать: периметр компании защищен лучше, чем на самом деле.
При проведении пентеста специалисты ITGLOBAL.COM Security советуют воздержаться от:
- Блокировки сетевых подключений для пентестера.
- Обновлений ПО и установки патчей.
- Удаления старых и забытых ресурсов.
- Включения дополнительных средств защиты.
Эти активности в процессе проверки могут добавить несколько очков ИБ-команде компании, но по большому счету больше похожи на читерство и фальсификацию. Это в корне противоречит основной идее пентеста — понять слабые места в защитном периметре организации и ликвидировать их.
Пентест для ИБ-стратегии
Конечно, не следует забывать о еще одном важном обстоятельстве. В условиях, когда регуляторы ужесточают контроль за информационной безопасностью в целых отраслях, организация ИБ становится стратегической функцией. Она напрямую влияет на непрерывность бизнеса предприятий. Директорам по информационной безопасности пентест дает возможность дополнить дорожную карту развития вверенного направления, а также обосновать необходимость инвестиций в укрепление функции в целом. Ведь без соответствия регуляторным требованиям работать нельзя.