Практически все современные бизнес-процессы находятся в интернет-пространстве, что существенно повышает риски информационной безопасности. Только за этот год количество кибератак на компании из различных сфер выросло десятикратно. Для предотвращения подобных атак компании используют пентесты.

“Всё должно начинаться с аудита безопасности, в котором важную роль играет пентест ― услуга, позволяющая вскрыть недостатки в организации безопасности заказчика и понять, что необходимо защищать в первую очередь. Потому что представленная в киберпространстве компания, которая ранее не подвергалась кибератакам, вряд ли сможет другим способом эффективно протестировать свои вложения в кибербез”, ― отметил директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин.

Пентест ― это имитация реальной кибератаки или определенной последовательности действий злоумышленника, целью которой является получение доступа к информации или к управлению информсистемами. Пентесты могут быть внутренними и внешними. Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов рассказал о процессе тестирования, на первом этапе которого проводится пассивная разведка внешней инфраструктуры заказчика, обнаружение уязвимостей и проникновение во внутреннюю инфраструктуру. Второй этап — анализ внутренних сервисов и корпоративной сети, для выявления различных недостатков.

Проведение пентеста возможно в рамках трех подходов: “черный”, “серый” и “белый” ящики. Их главное отличие — количество информации, которую компания предоставляет специалистам для оценки безопасности.

Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта”, отметил большую востребованность услуги среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Проверка защищенности информационных систем госструктур зачастую происходит по методу “серого ящика”: осуществляется поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт подчеркнул, что 85% взломов связаны с человеческим фактором,  в частности, с недостаточной информированностью сотрудников о политики безопасности ИТ-инфраструктуры. “И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ― добавил Мурад Мустафаев.

Илья Завьялов, директор департамента по противодействию киберугрозам компании “Информзащита”, рассказал об еще одной важной проблеме — веб-уязвимостях, возникающих в связи с отсутствием во многих компаниях культуры безопасной разработки интернет-сервисов и приложений. Так, уточнил он,  запуск в общий доступ или обновление продукта в ряде случаев не сопровождаются его аудитом, результатом чего может стать утечка исходных кодов и сохраненных паролей.

Илья Завьялов также выделил еще один способ проникновения во внутреннюю инфраструктуру — инсайдерские угрозы. Он объяснил, что частое обращение крупных организаций к сторонним поставщикам услуг дает возможность злоумышленнику выйти на офис главного заказчика через коммуникации обслуживающих его компаний. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack (атаку на цепочку поставок)”, ― поделился  эксперт.

По данным “Информзащиты”, большинство уязвимостей в информационных системах российских компаний являются следствием отсутствия процессов обеспечения безопасности внутренней инфраструктуры. Пример такого процесса  —  управление уязвимостями (Vulnerability Management), предполагающее регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов. Подобное сканирование дает возможность обнаружить недостатки в настройках службы каталогов Active Directory, доступ к которой дает злоумышленнику  максимальные привилегии.

К числу существующих уязвимостей Илья Завьялов отнес возможность удаленного выполнения кода за счет сервиса SMB, а также проблему слабой парольной политики: “Камеры и принтеры часто не контролируются сотрудниками ИБ. Злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку”.

Большинство пентестов проводится в ручном режиме, однако в настоящее время растет спрос на внедрение систем непрерывного мониторинга и запуска пентестов, которые позволяют автоматизировать процесс тестирования. “Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов”, —  уверен Николай Фокин.

В связи с этим, на рынке появился новый класс систем – системы автоматизации пентеста. Самыми популярными считаются системы BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Яркий образец подобных решений — платформа автоматизированного тестирования на проникновение  PenTera, разработанная на базе технологий искусственного интеллекта и способная моделировать мышление и поведение хакера. По мнению Николая Фокина, несмотря на то, что полная замена потенциального взломщика пока неосуществима, машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Это положительно сказывается на скорости охвата инфраструктуры, а также исключает ошибки, связанные с человеческим фактором.

Компания “ЛАНИТ-Интеграция” осуществила успешное внедрение системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.