Пентест для организации: задачи, средства, оценка эффективности
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияЦели пентеста (технические и организационные)
Тестирование на проникновение становится все более популярной услугой. С тех пор, как пентест «пошел в народ», с каждым годом появляется все больше вариантов его реализации.
Отличаются они между собой по нескольким ключевым параметрам:
- бюджету;
- срокам;
- осведомленности заказчика;
- величине области тестирования;
- целей тестирования.
Если первые факторы обсуждаемы и гибки, то определение целей тестирования – краеугольный камень при выборе варианта работ.
Основных целей две:
- Продемонстрировать уязвимости области тестирования;
- Повысить безопасность области тестирования.
Все остальные задачи являются производными от указанных выше. Кроме того, если у отдела информационной безопасности есть другие задачи, то и их легко можно связать с двумя указанными выше. Например, есть необходимость получить бюджет на новый межсетевой экран или дополнительного сотрудника, – тогда первая цель вполне подходит.
Если компания уже достигла достаточно зрелого уровня, когда у нее существует потребность в объективной и независимой оценке защищенности, а также в получении рекомендаций по ее улучшению, то только вторая цель имеет «право на жизнь». Основываясь на ней, и будем далее сравнивать варианты пентеста.
Применяемые методики и инструменты пентеста
Понимание термина «методика пентеста» является неоднозначным как в литературе, так и у специалистов-исполнителей. Мы под ним понимаем объем сведений, которые предоставляются тестировщику для начала работ. Выделяется три методики, которые отличаются по количеству начальных данных, имеющихся для пентеста:
- Белый ящик;
- Серый ящик;
- Черный ящик.
Белый ящик
Передача тестировщику административного доступа к инфраструктуре или исходного кода от программного обеспечения. Данный метод дает наиболее широкое покрытие, но одновременно является самым дорогим и долгим. Также он не позволит произвести демонстрацию, ведь можно показать получение доступа, а если он и так есть, то откуда взяться красивым картинкам?
Серый ящик
Имеет различные варианты реализации, но в основном под этим вариантом подразумевается предоставление доступа в сеть с правами непривилегированного пользователя и исполняемых файлов программного обеспечения / тестового стенда. Он является достаточно универсальным.
Черный ящик
Отсутствие у тестировщика легитимных доступов и сведений о приложении (требуется скачивать его из магазина приложений или приобретать как обычному пользователю). Данный метод проведения пентеста позволяет выявить не самое большое количество нарушений, но демонстрирует возможности потенциального злоумышленника, ведь тестировщик в одних с ним условиях.
Немного о инструментах пентестера
Их можно грубо разделить на автоматические (сканеры и средства для перебора паролей) и ручные (например, консоль и среда разработки приложения). Комбинация инструментов сильно зависит от области тестирования и не имеет решающего значения. Следует отметить, что ограничиться одним только сканированием – не значит провести пентест, поскольку данная операция предполагает лишь поиск уязвимостей, а без их анализа, то есть верификации, оценки, рекомендаций по устранению, — пентест не может считаться выполненным качественно.
Как оценить результат пентеста
Результативность пентеста можно и нужно оценивать. Причем гораздо тщательнее, чем любой другой процесс, ведь любые недостатки здесь негативно сказываются на безопасности.
Сразу скажем, что оценка отчета по пентесту – не то же самое, что оценка пентеста.
Требования к документу предъявляются разные, в зависимости от того, кому его предполагается предъявлять и как использовать. А вот у самого пентеста есть вполне измеримые показатели качества. Первый и главный – полнота.
Должны быть проверены на уязвимости все хосты в области тестирования. В зависимости от условий договора и применяемых методик может быть произведена как инструментальная проверка, так и ручная. Но все ресурсы должны подвергаться анализу. То же самое касается и WEB-приложений – все страницы, ссылки, каталоги и настройки необходимо проверять.
Далее перечислим косвенные показатели качества пентеста:
- обновленный лицензионный инструментарий (хотя можно и без него);
- подробный отчет с четкими рекомендациями и описанием векторов атак;
- появление (или, напротив – недопущение) отказа в обслуживании;
- нарушение конфиденциальности информации.
Что часто заказывают и что лучше работает
К сожалению, на практике чаще всего заказывают наиболее дешевые варианты. Среди них – простые автоматизированные пентесты внешних периметров и элементарная социальная инженерия с претекстингом (текстовым побуждением сотрудника переслать конфиденциальные данные). По итогам 2021 года, 60% работ приходилось именно на этот вид услуг. Однако, в этом году акцент смещается в пользу полноценных проектов.
Наиболее эффективными являются пентесты, связанные с выездом в контролируемую зону. На месте бывает достаточно физического доступа к сети, чтобы получить конфиденциальную информацию. На выездные пентесты приходится, к сожалению, не более 30% работ.
Оставшиеся 10% – гибридный вариант, эффективность которого ввиду малой статистики спорная. Он подразумевает предоставление удаленного доступа к корпоративной сети с имитацией физического подключения. Следует отметить, что подобные проекты начали появляться только в 2020г. (единицы – в конце 2019г.). В пандемию спрос на них вырос и достиг указанного выше процента.
Оптимальные варианты пентеста для разных уровней бизнеса
Исходить из различных уровней бизнеса при планировании пентеста стоит не только потому, что финансовые возможности по обеспечению безопасности разные у разных категорий. Дело в актуальности разного рода нарушителей и угроз. Рассмотрим на примерах:
- Для небольшой сети кофеен или магазинчиков будет достаточно пентеста по черному ящику – тратить средства на физическое подключение к терминалу злоумышленник явно не станет.
- Для организаций, активно пользующихся «удаленкой» сотрудников, самым актуальным будет гибридный вариант удаленного внутреннего пентеста, поскольку именно такой вид подключения является самым уязвимым звеном.
- Для организации с большим количеством офисных работников – однозначно требуется очное присутствие в офисе. Элементы социальной инженерии на месте вкупе с пониманием парольной политики дают очень высокий результат по отработке векторов атак с использованием не только системных уязвимостей, эффективного сканирования хостов сети, включая анализ безопасности сайта.
- Социальную инженерию стоит проводить тогда, когда рядовые сотрудники имеют доступ к конфиденциальной информации, например, в финансовых организациях. Разумеется, совмещая ее с техническим тестированием.
Резюмируя
Можно сказать, что вариантов пентеста – немало, особенно если мы имеем в виду гибридные формы. Выбирая подходящий именно вашей компании, исходя из ее масштабов, особенностей и возможностей, нужно помнить о главном: пентест – это не то, что делается «для галочки». При умелом обращении этот инструмент может не только принести безусловную помощь, но и сэкономить немало нервов и денег.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram