В современном мире большинство бизнес-процессов происходит в интернет-пространстве, что влечет за собой повышенные риски информационной безопасности. Только за 2022 год число кибератак на компании из различных сфер увеличилось в 10 раз.
По словам директора Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николая Фокина, важным этапом аудита безопасности является пентест, целью которого является выявление недостатков в организации безопасности заказчика и определение наиболее уязвимых компонентов инфраструктуры.
При широком рассмотрении, пентест — это моделирование кибератаки или действий злоумышленника, стремящегося получить доступ к информации или к управлению информсистемами. Пентесты делятся на два типа: внутренние и внешние. В первом случае компания-исполнитель работает во внутреннем контуре инфраструктуры заказчика и, например, делает попытки изменить права пользователя. Во втором — проводится анализ уязвимостей внешней инфраструктуры с целью получения доступа к внутренним данным.
По подходу к тестированию пентесты делятся на три типа, которые отличаются количеством первоначально доступной пентестерам информации: “черный”, “серый” и “белый” ящики.
Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” рассказал, что в настоящее время высокий спрос на пентесты наблюдается среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. В большинстве случаев для проверки защищенности своих информационных систем госструктуры обращаются к тестированию по типу “серого ящика”. В задачи этого метода входят поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт уточнил, что примерно 85% взломов связаны с социальной инженерией, в частности, с плохой осведомленностью сотрудников о правилах информационной безопасности. В связи с этим, важным становится обучение сотрудников организации основам социальной инженерии.
Еще одна ключевая проблема — это веб-уязвимости, которые являются следствием недостаточного развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Так, в ряде случаев при запуске в общий доступ или обновлении продукта не осуществляется его аудит, что повышает вероятность утечек исходных кодов и сохраненных паролей.
Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов к числу способов проникновения во внутреннюю инфраструктуру компании отнес также инсайдерские угрозы. Он объяснил, что крупные компании часто обращаются к услугам сторонних организаций для установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ― добавил Илья Завьялов.
Кроме того, по данным “Информзащиты”, у отечественных компаний причиной появления уязвимостей становится отсутствие процессов обеспечения безопасности внутренней инфраструктуры. Например, к таким процессам относится управление уязвимостями (Vulnerability Management), предполагающее регулярное полное сканирование всей внутренней инфраструктуры и инвентаризацию ИТ-активов.
Также среди уязвимостей Илья Завьялов выделяет возможность удаленного выполнения кода за счет сервиса SMB и слабую парольную политику. “Камеры и принтеры часто не контролируются сотрудниками ИБ. На самом деле злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку”, ― разъяснил специалист “Информзащиты”.
Несмотря на то, что сегодня большинство пентестов проводится в ручном режиме, на рынке растет спрос на внедрение систем непрерывного мониторинга и запуска пентестов, которые позволят автоматизировать процесс тестирования. Востребованность подобных систем Николай Фокин объяснил увеличением количества кибератак, а также непрерывным изменением и усложнением инфраструктуры на фоне нехватки кадров. “Представим ситуацию: пришли специалисты, проверили инфраструктуру компании, нашли уязвимости, выдали рекомендации по изменению. Но после этого в ИТ-ландшафт могут быть внесены изменения, и результаты пентеста становятся неактуальны. Между тем, делать его каждый месяц или даже квартал очень накладно. И здесь может помочь только автоматизация”, — привел пример эксперт.
Сегодня самыми распространенными считаются системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Их основное преимущество в том, что они способны создавать имитацию взломов и атак одновременно по множеству векторов. Одно из решений этой области — платформа автоматизированного тестирования на проникновение PenTera, которая с помощью технологий искусственного интеллекта, способна моделировать мышление и поведение хакера. Использование систем автоматизации пентеста позволяет увеличивать скорость охвата инфраструктуры, а также минимизирует ошибки, связанные с человеческим фактором.
Компания “ЛАНИТ-Интеграция” провела успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, включая системы IoT.