Тестирование на проникновение: как подготовиться к пентесту

Спросите CISO, считает ли он свою компанию достаточно защищенной, и он с большой вероятностью ответит утвердительно. Объективна ли его оценка, покажет тестирование на проникновение. Помимо роли индикатора защищенности, итоги пентеста могут повлиять на стратегию компании в целом. В этом материале специалисты ITGLOBAL.COM Security рассказали, как подготовиться к пентесту и от каких активностей лучше воздержаться.

Что такое пентест

Пентест — это комплекс мероприятий по взлому корпоративного периметра информационной безопасности. Атака осуществляется силами специализированной внешней команды, теми же методами и инструментами, которые используют хакеры.

Пентест позволяет:

оценить общую эффективность противодействия атаке, которая складывается из функционирования средств защиты информации, компетенций команды, отлаженности ИБ-процессов;
определить слабые места в инфраструктуре;
наметить векторы, по которым компанию могут атаковать реальные хакеры;
дополнить объективными данными парадигму киберрисков, с которой работают корпоративные айтишники и «безопасники»;
ликвидировать пробелы, выявленные в ходе пентеста, для укрепления реальной безопасности.

Ниже мы рассмотрим наиболее очевидные шаги по подготовке к пентесту. А также перечислим действия, от которых рекомендуем воздержаться.

Как подготовиться к тестированию на проникновение

Определить модель злоумышленника

Если ваша организация проходит проверку по требованию регулятора, сложностей с выбором модели злоумышленника нет. В положениях Банка России и ГОСТе Р 57580 нет указаний, от какой угрозы нужно защищаться: внутренней или внешней, поэтому, как правило, многие компании выбирают только проверку внешнего периметра. Но лучше сфокусироваться на отражении всех атак. По умолчанию предстоит защищаться от хакера со средними компетенциями и относительно скромными техническими возможностями.

При внешнем пентесте очевидно, что его усилия будут направлены на нарушение работы ресурсов, которые так или иначе «смотрят» в Интернет. Это IP-адреса и домены, на которых размещены, например, системы дистанционного банковского обслуживания, а также ряд других вспомогательных сервисов, например, мобильные приложения. Для проверки стойкости мобильных приложений ко взлому пентестеру обычно требуются их необфусцированные экземпляры на конкретных платформах (iOS или Android), а также документация к API с описанием конечных эндпоинтов.

Если компания решила сделать пентест «для себя» и не скована директивами регуляторов (например, Банка России), то можно выбрать: провести исследование защищенности от внешней агрессии или от внутреннего злоумышленника. Или заказать пентест для изучения стойкости при атаках разной природы. Для конкретной модели и для их сочетаний есть свои решения.

В случае если бизнесу важно защищаться от деструктивных действий извне, поверхность атаки будет аналогична «регуляторному» сценарию. Для моделирования внутренней угрозы необходимо заранее подготовить VPN-соединение и учетные записи тестового рядового сотрудника, например, в Active Directory. Эти данные будут переданы специалисту по тестированию на проникновение в качестве первоначальных условий.

Можно проверить и другую модель злоумышленника, когда пентестеру не будет предоставлено ничего, кроме доступа в сетевой периметр компании. Или, наоборот, будет предоставлена целая виртуальная машина с Kali Linux. Это даст пентестеру значительно больше возможностей, а заказчику — более комплексное понимание, насколько он уязвим в рамках сценария атаки изнутри.

В любом случае выбирать методику и сценарии внутреннего пентеста стоит до заключения договора со специализированной организацией, проводящей тестирование на проникновение.

Обновить и пропатчить ПО

Вендоры программного обеспечения выпускают регулярные обновления не просто так. Практически каждый апдейт содержит улучшения, так или иначе направленные на повышение стойкости ко взлому и на безопасное применения продукта. Поэтому перед пентестом имеет смысл убедиться, что весь применяемый софт обновлен, а общеизвестные уязвимости закрыты соответствующими патчами.

[text_with_btn btn=»УЗНАТЬ БОЛЬШЕ» link=»/ru-ru/services/info-security/comprehensive-penetration-testing/penetration-test/» btn_size=»normal»]Тестирование на проникновение[/text_with_btn]

Знать структуру собственного ИТ-ландшафта

Все сервисы, порты и IP-адреса, которые «смотрят» в интернет и не только, принадлежат конкретным единицам в корпоративной инфраструктуре. Важно понимать набор этих компонентов, чтобы не только защитить их, но и иметь план Б на случай, если хакеры обойдут защиту и продолжат атаку, используя эти участки инфраструктуры.

Зачистить тестовые среды

Нередко разработчикам оказывается удобнее создавать новую функциональность и тестировать код за пределами ИТ-периметра организации. Код и настройки тестовых сред могут содержать данные о конфигурациях конкретных участков инфраструктуры. Это ценная информация для злоумышленников, которую к тому же легко получить. Стоит убедиться, что в публичных облаках и на сервисах типа GitHub нет подобных данных.

Обеспечить микросегментацию

Одно из ключевых правил подхода Zero Trust хорошо работает при противодействии внутренним злоумышленникам. Правильная сегментация сети и межсетевое экранирование существенно сокращают поверхность атаки, поскольку разрешают пользователям внутри сети доступ к конкретным сервисам и данным.

Что негативно повлияет на проведение пентеста

Выше мы перечислили ряд конструктивных активностей, которые совершенно точно сработают на укрепление информационной безопасности в компании, даже если речь не идет о подготовке к пентесту.

Однако считаем важным предостеречь от мероприятий, которые могут негативно повлиять на получение объективных данных о защищенности организации. Все они так или иначе связаны с изменением ИБ-статуса «в моменте» и предпринимаются специалистами кибербезопасности, чтобы показать: периметр компании защищен лучше, чем на самом деле.

При проведении пентеста специалисты ITGLOBAL.COM Security советуют воздержаться от:

Блокировки сетевых подключений для пентестера.
Обновлений ПО и установки патчей.
Удаления старых и забытых ресурсов.
Включения дополнительных средств защиты.

Эти активности в процессе проверки могут добавить несколько очков ИБ-команде компании, но по большому счету больше похожи на читерство и фальсификацию. Это в корне противоречит основной идее пентеста — понять слабые места в защитном периметре организации и ликвидировать их.

Пентест для ИБ-стратегии

Конечно, не следует забывать о еще одном важном обстоятельстве. В условиях, когда регуляторы ужесточают контроль за информационной безопасностью в целых отраслях, организация ИБ становится стратегической функцией. Она напрямую влияет на непрерывность бизнеса предприятий. Директорам по информационной безопасности пентест дает возможность дополнить дорожную карту развития вверенного направления, а также обосновать необходимость инвестиций в укрепление функции в целом. Ведь без соответствия регуляторным требованиям работать нельзя.