• Москва
  • Санкт-Петербург
  • Екатеринбург
  • Ереван
  • +7 (495) 221 21 41
  • +7 (812) 407 34 71
  • +7 (343) 247 83 68
  • +374 (60) 28 00 03

Продавцы страха...?

№2, февраль 2016 / Национальный банковский журнал

Согласно открытым данным сети интернет, пентест (тестирование на проникновение) – это метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.

Зачастую у заказчика происходит подмена понятий между пентестом и условно «классическим» аудитом ИБ или даже сканированием сети программой, относящейся к классу сканеров уязвимости. Да, все эти действия направлены на обнаружение уязвимостей, но цели у этих методов абсолютно разные. «Классический» аудит на выходе даст полный анализ архитектуры и конфигурации информационной сети, что позволяет понять потенциальные уязвимости и механизмы защиты. Результатом работы сканера уязвимости становится идентификация и классификация всех имеющихся основных технологических уязвимостей.

Пентест же следует рассматривать в несколько иной плоскости: его цель – подтвердить незащищенность системы управления информационной безопасностью (СУИБ). Пентестер (человек, который проводит пентест) не покажет всех уязвимостей, которые в любом случае существуют в периметре ИБ, а будет использовать «до последнего» те уязвимости, которые обнаружит. Соответственно, необходимо понимать, что пентест не является полноценной заменой аудита ИБ. Его необходимо воспринимать как составную часть аудиторского процесса.

За исключением жестко регламентированных стандартом процедур типа PCI ASV, пентест представляет из себя достаточно творческую процедуру, если так можно сказать об узаконенном взломе. Саму процедуру пентеста можно разделить на три класса: blackbox, whitebox и проникновение с использованием социальной инженерии. При работах по классу whitebox происходит максимальное взаимодействие с представителем заказчика: запрашиваются исходные коды программного обеспечения, топология сети и т.д., после изучения которых определяются слабые места и осуществляется их эксплуатация при проникновении. Фактически осуществляется полноценный аудит, хотя и с оговорками.

Blackbox, по своей сути, эмулирует проникновение в сеть злоумышленника. При таком методе проникновения прежде всего используются открытые данные о компании, размещенные в сети интернет. Только после изучения всех доступных данных пентестер приступает к проникновению. Самым трудным в реализации, а заодно и самым долгим является пентест с использованием социальной инженерии. Тут уже в ход идут абсолютно все приемы, начиная от пресловутых флэшек с программами-эксплойтами до изучения персонала компании в социальных сетях, ограничиваясь исключительно фантазией исполнителя.

Но надо понимать, что, в отличие от злоумышленника, пентестер прежде всего ограничен временными рамками, прописанными в контракте. И абсолютно все его действия должны не только происходить под контролем заказчика, но и быть закреплены в договоре. После обнаружения каждой уязвимости возможность ее эксплуатации должна быть закреплена в дополнительном соглашении. И это не прихоть, а основная защита пентестера, ведь формально своими действиями он нарушает несколько статей Уголовного кодекса РФ. Вполне может так случиться, что в ходе проведения работ произойдет отказ какой-нибудь важной системы или будут уничтожены данные заказчика. Чтобы не быть обвиненным в намеренном разрушении, пентестер должен скрупулезно прописывать в договоре глубину проникновения и возможные разрушения.

Учитывая все вышесказанное, необходимо четко понимать, что ни один пентестер не предоставит полной картины безопасности исследуемой инфраструктуры, ведь работа заключается в проникновении, а не в обнаружении всех «узких» и потенциально «узких» мест. С точки зрения ИБ пентест – необходимая составляющая часть не только полноценного аудита, но и всего процесса СУИБ.

Конечно, можно сказать, что пентестеры – продавцы страха, которые продают свои услуги, рассказывая какие-то страшилки и небылицы. Но так ли это? События последних лет, такие как взлом AshleyMadison, взлом системы Русского Международного Банка с последующим отключением от БЭСП, атаки на App Store и многие-многие другие, указывают на то, что современные системы крайне уязвимы и зачастую скорый «продакшн» приводит к тому, что данные становятся доступны не только владельцу, но и кому-то другому.

Мы свой выбор для себя сделали. А вот что выберете вы?


Роман Семенов, руководитель отдела консалтинга и аудита ARinteg


Перейти к списку статей

© Все права защищены 2003-2017г.
ООО "Антивирусные решения"


НП "АБИСС"