Этичный хакинг. Как ИБ-специалисты проверяют вашу систему на прочность

Недавно специалисты нашего Cyber SOC (далее — CSOC) прошли обучение по этичному хакингу. В течение нескольких недель они взламывали сетевую инфраструктуру компаний, выстроенную в лабораторных условиях.

Мы решили рассказать, какие вообще мероприятия существуют для оценки уровня информационной безопасности компании.

Пентест

Пентест (penetration test) или тест на проникновение — метод оценки уровня защищенности, при котором ИБ-специалисты моделируют разные способы атаки злоумышленников. Пентестеры в отведенное время и с отведенными ресурсами пытаются взломать систему с помощью уязвимостей, чтобы найти ее слабые места.

Специалисты разными инструментами и способами сканируют сеть, анализируют код страниц на наличие уязвимостей, просматривают данные из открытых источников — чтобы в итоге найти способ проникнуть в сеть компании.

Подходы для пентестов

  • White Box — команда безопасности знает, что ее будут тестировать, какие части сети подвергнутся атаке и какие средства есть у «злоумышленников». В таком формате пентест больше похож на внешний аудит.
  • Gray Box — специалистам известны не все исходные параметры. Они могут знать, какую систему нужно проверить и до какого уровня ее взламывать.
  • Black Box — неизвестно вообще ничего. У специалистов есть только название компании, которую нужно взломать.
     

Удастся ли пентестерам проникнуть в систему, зависит от их экспертности, доступного времени или ресурсов. От этого стоит исходить и руководителям ИТ-отделов — при неограниченном времени или ресурсах взломать можно любую систему. Пентест же показывает возможность взлома за определенное время (например, 1 неделя) с определенной экспертизой и стоимостью.

Локальное законодательство приравнивает любые действия по проникновению в защищенную сеть к нелегитимным. Поэтому нельзя просто так начинать пентест в реальной среде — только по просьбе заказчика.

Пентест в формате White Box или Gray Box в идеале нужно проводить раз в год. На основе пентеста проводится оценка защищенности, которая состоит из нескольких этапов. На первом этапе формируется оценка текущего уровня защищенности, далее формируется план по улучшению (Remediation plan), на котором формируются шаги по улучшению уровня защищенности.

Периодическое сканирование

Периодическое сканирование проводится с помощью автоматизированных средств поиска и контроля уязвимостей. Это аудит, который обеспечивает в режиме непрерывного улучшения высокую степень защищенности периметра сети.

Сканеры используют разные техники: симуляция различных типов атак и эксплуатация уязвимостей, проверка работы антивирусных средств, сканирование веб-приложений и проверка работы конфигурации целевых средств ИБ.

Сканирование проводится по различным стандартам, опционально можно настроить расписание. ИБ-специалист настраивает и запускает программы-сканеры, а по итогу их работы аналитики CSOC просматривают отчеты и планируют установку патчей или дополнительных элементов защиты.

Сканеры могут оценивать всю инфраструктуру или отдельные веб-приложения. По типу развертывания бывают облачные (SaaS) решения и on-premise — сканер устанавливается локально.

Сами решения бывают платные и бесплатные. Бесплатные: Nmap без графического интерфейса и Zenmap с графическим интерфейсом. Платные — Nessus, Nexpose от Rapid7.

Периодическое сканирование обычно проводится по расписанию, раз в полгода, либо в рамках разных внутренних аудитов. Сканирование и само по себе является поверхностным аудитом системы безопасности. 

Проводить периодическое сканирование стоит всем компаниям.

Red team и blue team

Не только защищенность систем гарантирует высокий уровень кибербезопасности. Важно проверять готовность специалистов отражать атаки. Для этого проводятся киберучения Red Team vs Blue Team.

Red Team — команда «нападающих» — имитирует работу злоумышленников. Они пытаются найти и эксплуатировать уязвимости в системе защиты компании.

Blue Team — команда «защищающихся» — отбивает атаки злоумышленников. Они пытаются отследить проникновение и вовремя на него отреагировать, чтобы Red Team не получили доступ к данным компании.

Red Team тестируют разные методы проникновения:

  • Социальная инженерия. Это могут быть и фишинговые письма на почте, и звонки от лица «представителей компании», и «случайно» оставленные в офисе неизвестные флешки.
  • Тестирование интернет-сервисов на доступность. «Злоумышленники» пробуют различные DoS- и DDoS-атаки.
  • Эксплуатация уязвимостей. Как в случае с пентестом, специалисты сканируют систему на уязвимости, а затем пытаются их эксплуатировать.
     

Такое мероприятие направлено на повышение уровня компетенций персонала и подготовку к реальным кибератакам.

Юрий Бармотин

Юрий Бармотин  руководитель CyberSOC Orange Business Services Russia, начальник отдела управления интеллектуальными услугами. Руководит двумя центрами компетенций: Security Operations Center (коммерческая поддержка услуг кибербезопасности) и Cloud Solutions Center (коммерческая поддержка облачных услуг).