Аудит, анализ, пентест. Choose your fighter!
В прошлой статье мы обсудили приоритеты бизнеса, меняющиеся на фоне поисков отечественных альтернатив ПО и увеличения числа совершаемых кибератак. Итог размышлений: защищённость IT-инфраструктуры = успех во время нынешних перемен в экономике.
А теперь давайте поговорим немного о главных составляющих уравнения – исследованиях безопасности. Что это, чем они различаются и к какому больному месту их прикладывать?
Пентест vs Аудит vs Анализ защищённости. Разберёмся в понятиях
IT-инфраструктура стремительно изменяется: переносится, расширяется, актуализируется, обновляется. Всё это ведёт к появлению новых точек входа для злоумышленников. По идее, бизнес должен их оперативно находить и закрывать. Однако не все готовы взять в штат специалиста по информационной безопасности (ИБ). Потому уязвимости и обнаруживаются чаще лишь постфактум.
И пока термины "тестирование на проникновение", "анализ защищённости" и "аудит безопасности" вызывают вопрос: “А это разные вещи?”, мы видим необходимость помочь разобраться в работе исследователей ИБ.
Анализ защищённости
Анализ защищённости призван найти все известные и неизвестные уязвимости в вашей системе. Исследование прекращается после обнаружения недостатка, то есть услуги не включают в себя выполнение атаки с эксплуатацией найденной уязвимости.
Здесь мы проводим комплексный и обстоятельный анализ всех элементов. В результате заказчик получает исчерпывающий анализ своей инфраструктуры и понимание где безопасно, а где нет, а также рекомендации что сделать, чтобы было более безопасно.
- Посмотрите, есть ли в моем костюме дырка?
- Видим сразу несколько дырок в незаметных местах. Делаем с ними что-то?
- Нет, спасибо, мы сами!
Аудит безопасности
Аудит безопасности позволяет оценить, соответствует ли защита вашей корпоративной IT-инфраструктуры или её компонентов протоколам безопасности, списку установленных критериев, нормативам и стандартам, документации производителей оборудования и ПО.
Аудиты должны проводиться на регулярной основе для защиты ваших данных и цифровых активов. Если вы работаете в строго регулируемой отрасли, проверки помогут вашему бизнесу обеспечить соответствие различным стандартам (например, ISO, HIPPA, GDPR, PCI-DSS, SOX и т. д.).
ВАЖНО: Стоит отметить, что большинство регламентов и базовых стандартов имеют длительный процесс обновления и успевают устареть к моменту проведения исследования. Настоятельно рекомендуется выйти за рамки стандартов и исходных условий, чтобы поднять уровень безопасности до приемлемого уровня защиты от реальных угроз.
- Здравствуйте! Это наш выходной костюм. Проверьте, всё ли с ним хорошо?
- Нашли несколько дырочек. И тут потертости. А ещё нитки торчат и пуговица вот-вот отвалится. В таком костюме вас в приличный ресторан не пустят.
- А как сделать, чтобы пустили?..
Пентест
Тесты на проникновение, или пентест, – это глубокое и объёмное исследование, во время которого эксперт по безопасности атакует вашу систему как хакер, чтобы определить, может ли ваша IT-инфраструктура выдержать аналогичную реальную атаку. Цель исследования – выяснить, может ли злоумышленник проникнуть в сеть компании и при каких условиях (время, инструменты, количество и уровень специалистов, технические ресурсы).
Тесты на проникновение ценны, потому что они дают представление о защите компании с точки зрения злоумышленника. Они помогут определить области, которые специалисты по безопасности упустили из виду.
- Здравствуйте! Это костюм моего дедушки, хочу в нём пойти на свидание! Все ли будет хорошо?
- Наши сотрудники сходили в вашем костюме на несколько свиданий, а также на дискотеку и соревнования по имитации оленьего брачного зова. В процессе немного разошелся подклад, но мы вовремя это заметили и теперь это не доставит вам проблем.
- Шикарно!
Хорошо спланированное и скоординированное тестирование не вызовет сбоя системы. Кроме того, компания-клиент может заранее определить масштаб и сроки теста и проинформировать все заинтересованные стороны о любой активности в своей ИТ-инфраструктуре.
Далее речь пойдет преимущественно о пентесте. Этот метод оценки безопасности наиболее информативный и трудоёмкий.
Этапы тестирования
Вы определились с исследованием и выбрали пентест как наиболее подходящий метод оценки безопасности для вашего бизнеса. Что дальше? Для успешного проведения тестирования на проникновение вам требуется тщательное и детальное планирование. Существует несколько этапов:
Шаг 0. Договор «на берегу»
Прежде чем начинать тестирование, важно обсудить с поставщиками услуг безопасности объёмы пентеста, бюджет, цели и т.п. Без этих договоренностей не будет чёткого направления и усилия будут потрачены впустую.
Шаг 1. Сбор информации
Перед началом пентеста специалист попытается найти всю общедоступную информацию о системе. Это поможет в разработке плана действий, а также выявлении потенциальных целей.
Шаг 2. Оценка уязвимости
На этом этапе ваша сеть проверяется на наличие уязвимостей и недостатков безопасности. Специалист ищет пробелы, которые могут быть использованы для взлома.
Шаг 3. Эксплуатация
Как только специалист будет вооружен знаниями об уязвимостях, присутствующих в системе, он начнет их использовать. Это поможет определить характер пробелов в безопасности и усилия, необходимые для их использования.
Шаг 4. Постэксплуатация
Основная цель пентеста – имитировать реальную атаку, в которой злоумышленники наносят реальный ущерб. Как только пентестер сможет войти в систему, он будет использовать все доступные средства для повышения своих привилегий.
Шаг 5. Сохранение доступа
Как только злоумышленники получают доступ к системе, они пытаются держать канал открытым для дальнейшей эксплуатации через бэкдоры и руткиты. То же самое делают и пентестеры. Они устанавливают вредоносное ПО и совершают иные мошеннические действия. Таким образом они проверяют, насколько имеющаяся защита IT-инфраструктуры может распознать опасность и предотвратить её.
Шаг 6. Отчёт
Всё, что сделано во время тестирования, подробно задокументировано. Клиент получает отчёт, включающий подробное описание процесса проникновения и предложения по устранению недостатков в безопасности.
Поскольку характер доклада касается защищённости системы, гарантируется, что он будет безопасно передан уполномоченному персоналу. А ещё пентестеры часто проводят встречи и брифинги с руководителями и техническими командами, чтобы помочь им понять отчёт.
О чём нас постоянно спрашивают?
- Как часто надо проводить тестирование?
Частота тестов зависит от нескольких факторов: бюджета, размера и динамики IT-инфраструктуры. Если тестировать слишком часто, то не будет времени на устранение проблем. Если слишком редко – повышается уровень уязвимости для новых атак.
- Сколько времени требуется для тестирования на проникновение?
Общее время зависит от таких факторов, как размер среды, размер команды тестирования, тип теста и т. д. Оптимальная оценка составит от 4 до 8 недель, включая этап планирования и отчётности. Фактический тест занимает от 2 до 4 недель, но всё очень индивидуально.
- Почему пентест важен?
Он даёт чёткую и всеобъемлющую картину вашей текущей ситуации в области безопасности и помогает устранить уязвимости.
Мы рассмотрели популярные варианты исследований и хотим подытожить всё вышесказанное.
Ваш выбор исследования будет зависеть от периметра задач.
- Стоит выбрать анализ защищённости, если хотите проверить защиту IT-ресурсов (мобильных и веб-приложений, СУБД, ДБО).
- Аудит подходит для проверки системы на соответствия установленным стандартам безопасности.
- Если же у вас цель – проверить систему на устойчивость к хакерским атакам, то верный выбор – пентест.
Результат исследования тоже различный.
- После анализа защищенности вы получите максимально полный перечень обнаруженных уязвимостей.
- Аудит безопасности гарантирует вам заключение о соответствии/несоответствии нормативам и законам.
- После тестирования на проникновение, вы получите наиболее полный отчёт, с описанием полного хода тестирования и сценариев атак. В отчёт также входят выводы для руководства и рекомендации по повышению уровня защиты.