Большинство современных бизнес-процессов переведены в интернет-пространство, что значительно увеличивает риски информационной безопасности. Только за 2022 год число кибератак на компании из различных сфер выросло в 10 раз. Для решения этой проблемы компании используют пентесты.
Директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин отметил: “Всё должно начинаться с аудита безопасности, в котором важную роль играет пентест ― услуга, позволяющая вскрыть недостатки в организации безопасности заказчика и понять, что необходимо защищать в первую очередь. Потому что представленная в киберпространстве компания, которая ранее не подвергалась кибератакам, вряд ли сможет другим способом эффективно протестировать свои вложения в кибербез”.
В общем смысле, пентест — это имитация реальной кибератаки или действий злоумышленника, направленных на получение доступа к информации или к эксплуатации информсистем. Пентесты делятся на внутренние и внешние. Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов описал процесс тестирования, включающего пассивную разведку внешней инфраструктуры заказчика, выявление уязвимостей и проникновение во внутреннюю инфраструктуру. На втором этапе осуществляется анализ внутренних сервисов и корпоративной сети с целью обнаружения различных недостатков.
С точки зрения подходов к процессу, пентесты разделяются на три типа: “черный”, “серый” и “белый” ящики. Данные сценарии отличаются количеством информации, которой компания делится со специалистами для оценки уровня безопасности.
По словам Мурада Мустафаева, руководителя службы информационной безопасности компании “Онланта”, большой спрос на услуги существует среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Тестирование защищенности информационных систем госструктур чаще всего осуществляется по сценарию “серого ящика”. В этом варианте один из методов пентеста предполагает поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт заметил, что в 85% случаев причиной взломов становится человеческий фактор, а именно, недостаточная информированность сотрудников о политике безопасности ИТ-инфраструктуры. “И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ― добавил Мурад Мустафаев.
Илья Завьялов, директор департамента по противодействию киберугрозам компании “Информзащита”, выделил еще одну ключевую проблему — веб-уязвимости, в появлении которых важную роль играет отсутствие культуры безопасной разработки интернет-сервисов и приложений. В процессе запуска в общий доступ или обновления продукта, утверждает эксперт, специалисты зачастую не проводят его аудит, повышая, таким образом, вероятность утечки исходных кодов и сохраненных паролей.
Инсайдерские угрозы, по мнению Ильи Завьялова, также являются одним из способов проникновения во внутреннюю инфраструктуру. Эксперт объяснил, что частое обращение крупных организаций к сторонним поставщикам услуг позволяет злоумышленнику использовать их коммуникации для того, чтобы выйти на офис главного заказчика. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack (атаку на цепочку поставок)”, ― поделился Илья Завьялов.
Согласно данным “Информзащиты”, большая доля уязвимостей в информационных системах российских компаний связана с отсутствием процессов обеспечения безопасности внутренней инфраструктуры. К данным процессам относится, в частности, управление уязвимостями (Vulnerability Management), предполагающее регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов. Сканирование дает возможность обнаружить недостатки в настройках службы каталогов Active Directory. Например, если уязвимость существует в сервисе Exchange, который отвечает за доставку почты в домене, то атака этого сервиса дает злоумышленнику максимальные привилегии, поскольку сервис Exchange имеет права на все учетные записи домена.
В настоящее время большинство пентестов проводится в ручном режиме, однако параллельно с этим растет спрос на внедрение систем непрерывного мониторинга и запуска пентестов, помогающих автоматизировать процесс тестирования. “Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов”, — заметил Николай Фокин.
Сложившаяся ситуация стимулировала появление на рынке нового класса систем – систем автоматизации пентеста. Самыми популярными считаются системы BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Одно из таких решений — платформа автоматизированного тестирования на проникновение PenTera, в основу которой легли технологии искусственного интеллекта, определившие ее способность моделировать мышление и поведение хакера. По мнению Николая Фокина, в данный момент полная замена потенциального взломщика невозможна, однако машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Это способствует увеличению скорости охвата инфраструктуры, а также позволяет минимизировать ошибки, связанные с человеческим фактором.
Компания “ЛАНИТ-Интеграция” осуществила успешное внедрение системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.
