Как оценить уровень защищенности ИТ-систем?

Защищенность ИТ-систем определяется как состояние устойчивости к кибератакам. Основной парадигмой в управлении информационной безопасностью является риск-ориентированный подход. В этой парадигме риск определяется как потенциальный ущерб х вероятность атаки, которая зависит от величины уязвимости и вероятности угрозы.

Чтобы рассчитать вероятность угрозы, мы можем действовать несколькими путями. Классический подход к оценке риска говорит нам о том, что надо использовать статистику по однотипным инцидентам за определенный период времени и на основе данной выборки принимать решение о том, какова вероятность того, что инцидент того или иного типа случится. При отсутствии статистики предлагается использовать экспертный подход.

Уязвимости делятся на уязвимости кода, конфигурации, архитектуры, организационные и многофакторные. Среди перечисленных отдельно следует затронуть вопрос организационных уязвимостей. Согласно ГОСТ, организационная уязвимость возникает по причине отсутствия или недостатков организационных мер защиты информации. К ним относятся несоблюдение правил эксплуатации, требований организационно-распорядительных документов, несвоевременное выполнение соответствующих действий должностными лицами или подразделением, ответственным за защиту информации. В качестве примера можно привести отсутствие двухфакторной аутентификации при доступе к информационной системе персональных данных, которая должна использоваться в соответствии с внутренним регламентом. Управление организационными уязвимостями не менее важно, чем обнаружение и исправление ошибок в коде, и их игнорирование может быть очень опасно.

Говоря об управлении уязвимостями, важно, чтобы был внедрён процесс не просто их поиска, но и устранения. И здесь мы сталкиваемся с несколькими нюансами. Во-первых, в вашей инфраструктуре могут быть legacy-системы, не поддерживаемые и не обновляемые разработчиками, и в этом случае даже при наличии уязвимостей разработчики таких систем могут их игнорировать, поскольку закончился срок жизни или срок поддержки продукта. Во-вторых, ту или иную систему, например, операционную систему нельзя обновить, поскольку какая-то программа может работать только с определенной версией операционной системы. Для минимизации угроз, возникающих в связи с этим, должны быть предусмотрены компенсирующие меры, например, настроены более строгие правила доступа к хосту и т.д.

Методы оценки: Пентест, Red Team, Киберполигон, Bug Bounty, Breach & Attack Simulation

Пентест

Пентест важно проводить как внешний, так и внутренний. Рассмотрим детально каждый из видов.

В ходе внешнего пентеста осуществляется поиск и эксплуатация уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, т.е. моделируется злоумышленник, пытающийся получить доступ к корпоративным информационным системам из сети Интернет. Основной задачей становится проникновение в сеть заказчика.

Начинается внешний пентест со сбора информации об объекте исследования, его структуре, информационных сервисах из публичных источников информации. Для определения доступных из сети Интернет сетевых служб проводится сканирование портов и служб с использованием сетевого сканера. Результатом является полученный список открытых портов и активных сервисов, доступных из сети Интернет.

Следующим этапом является анализ защищенности веб-приложения, который включает в себя следующие шаги:

• анализ технологий, с помощью которых построено и работает веб-приложение;
• анализ способа взаимодействия веб-приложения с пользователем (каким образом и в каком виде передаются параметры и т.д.);
• анализ реакции веб-приложения на неожидаемые значения параметров (как реализована обработка ошибок);
• анализ того, каким уязвимостям может быть подвержено веб-приложение и т.д.
• поиск уязвимостей типа «внедрение операторов SQL» (SQL-injection), «межсайтовое выполнение сценариев», «внедрение внешних сущностей XML» и т.д. с помощью автоматических сканеров уязвимостей.

В результате формируется отчет со списком уязвимостей с указанием степени критичности и методами устранения.

Отдельно осуществляется поиск уязвимостей в публичных сетевых сервисах и тестирование почтовых серверов, в ходе которого проверяются возможности реализации таких угроз, как:

• отправка почты с поддельным отправителем;
• отправка почты с поддельным отправителем в домене, несоответствующим имени узла, с которого производится рассылка;
• проверка наличия того или иного почтового ящика посредством использования команд VRFY, EXPN и RCPT TO;
• отсутствие механизмов защиты, таких как Sender Validation и сокрытие несуществующих адресов.

В отличие от внешнего задачей внутреннего пентеста является повышение привилегий в сети и получение контроля над теми или иными хостами и информационными системами. Внутренний пентест обычно начинается с выбора сценария, т.е. какой вид нарушителя мы принимаем в качестве базового. Например, могут быть выбраны действия внутреннего злоумышленника, который при модели тестирования «белый ящик» имеет легитимный доступ к информационным системам, или «серый ящик», при которой исполнитель не имеет легальных учетных записей в системах заказчика, однако имеет представление об инфраструктуре КИС заказчика и схеме сети. В ходе пентеста первоначально проводится анализ хоста и его окружения, имеющихся средств защиты информации, возможностей повышения привилегий на рабочей станции. Далее, после определения и анализа данных на компьютере, в зависимости от типа пентеста и знаний об устройстве сети, принимается решение о проведении сканирования подсети с определением доступных портов и служб. Далее осуществляется поиск брешей в безопасности, к которым могут относиться ошибки конфигурации, уязвимости в коде установленного программного обеспечения, производится тестирование на повышение привилегий и т.д.

Результатом внутреннего пентеста является отчет, в котором указывается к каким информационным системам и с помощью каких уязвимостей были получены повышенные привилегии.

Важной частью проведения пентеста является проведение атак с использованием методов социальной инженерии, в частности, с помощью отправки фишинговых писем, в ходе которой определяется перечень сотрудников, нажавших на ссылки и открывших небезопасные вложения в подобных письмах.

Отдельно отметим такой вид пентеста, как тестирование безопасности Wi-Fi сетей, в ходе которого можно определить возможность получения контроля над уже существующими точками доступа и установки нелегитимных точек доступа.

Team

Преимущество Red Team связано со сроками метода. Если пентест, как правило, ограничен достаточно коротким временем, например, месяцем, и о проведении пентеста служба ИБ заказчика уведомлена заранее, то в случае Red Team проект идёт более длительный период, и атака проводится достаточно скрытно, при этом используется максимально широкий арсенал социотехнических средств. Также надо обратить внимание, что т.к. задачей Red Team является сломать оборону противника, т.е. победить Blue Team, то используемые методы намного более реалистичны и приводят к реальному взлому инфраструктуры.

Киберполигон

В последнее время активно стала использоваться услуга киберполигона, заключающаяся в создании цифрового двойника инфраструктуры заказчика на внешней инфраструктуре подрядчика и проведении кибератак на нее. Со стороны заказчика выступает команда защиты Blue Team. Основной целью такой услуги является проведение киберучений службы ИБ заказчика. Основным преимуществом использования киберполигона является максимальная реалистичность проведения кибератак в сочетании с тем фактором, что настоящая инфраструктура остается нетронутой, т.е. не подвергается атакам, и, соответственно, все рабочие процессы компании остаются непрерывными.

Bug Bounty

Еще одним достаточно интересным направлением в оценке защищённости компании является использование программ Bug Bounty – это программа выплаты вознаграждения за найденные уязвимости в сервисах и приложениях компании. Когда компания достигла определенного уровня зрелости ИБ и уверена в достаточно высокой стойкости своих систем защиты, она объявляет награду за нахождение уязвимостей в своих информационных системах. Белые хакеры, заинтересованные в получении дополнительного дохода, непрерывно атакуют информационные системы и в случае успешной эксплуатации найденной ими уязвимости получают от компании определенное вознаграждение. Программы Bug Bounty запущены в настоящее время самыми разными организациями, в том числе российскими. Успешность программ определяется целым рядом факторов, например, той ценой за найденные уязвимости, которую компания готова заплатить.

Breach & Attack Simulation

Если взлом сети осуществляется совокупностью методов, среди которых может быть эксплуатация уже известных уязвимостей, уязвимостей нулевого дня и использование методов социальной инженерии, то самым лучшим способом проверить реальную защищенность сети является проведение теста на проникновение. В качестве дополнительного метода, позволяющего проверить правильность настройки средств защиты информации, можно использовать симуляцию кибератак с использованием специальных программных средств, относящихся к классу Breach & Attack Simulation.

Востребованность решений BAS-класса достаточно высока, т.к. они лишены ряда недостатков, свойственных другим методам. Например, пентест проводится как правило не чаще раза в год, а в перерывах между пентестами также необходимо понимать уровень защищенности сети. Кроме того, пентест всегда ограничен квалификацией специалиста и скоупом работ.

Что выбрать?

Какой бы подход вы не применяли, имеет смысл действовать поступательно. Для устранения известных уязвимостей необходимо регулярно использовать сканеры безопасности, что позволит решать в автоматизированном режиме часть задач по установке обновлений ПО и даст возможность решать дополнительные задачи, в частности, проведение инвентаризации хостов. Но при этом остаются организационные уязвимости и ряд других проблем. Например, сканер безопасности не способен выявить ошибки настройки средств защиты информации, из-за которых доступ злоумышленника к инфраструктуре может быть облегчён.

Поскольку хакеры при атаке на сети используют комплекс методов, использующих уязвимости ПО, ошибки конфигураций и организационные уязвимости, а также социальную инженерию, то одним из лучших способов оценки реальной защищенности сети является пентест. Но и пентест не лишён недостатков. В основном, они связаны с уровнем квалификации специалиста и ограниченностью применяемых техник. Наиболее критичным недостатком является эпизодичность. Как правило, пентест проводится не чаще одного раза в год, и поэтому в перерывах требуется использование дополнительных методов.

В случае, если предстоит не просто проверить один или несколько векторов атак, а испытать на прочность вашу службу Blue Team неожиданной атакой белых хакеров, то смело заказывайте услугу Red Team. Если при этом не хочется нанести вред своей инфраструктуре реальными атаками, можно рекомендовать аренду Киберполигона.

Red Team, как и пентест, является разовой услугой, хотя и более продолжительной, поэтому для непрерывной оценки защищенности, в том числе проверки правильной настройки средств защиты информации, оптимальным является использование решений класса Breach Attack Simulation.

Ну и наконец, если пентест и другие методы уже не дают результата, и вы считаете вашу инфраструктуру максимально защищенной, но тем не менее хотите в этом окончательно убедиться, открывайте программу Bug Bounty, и сотни хакеров со всего мира устремятся к вам, чтобы доказать обратное в поисках дополнительного заработка.

Наличие многочисленных методов ставит компании перед выбором, тем более что каждый способ обладает как преимуществами, так и недостатками. Эксперты рекомендуют для максимально эффективной оценки защищенности сети использование комплексных мер.

Источник: https://www.it-world.ru/cionews/security/186284.html

новости компании