Пентест для организации: задачи, средства, оценка эффективности

Цели пентеста (технические и организационные)

Тестирование на проникновение становится все более популярной услугой. С тех пор, как пентест «пошел в народ», с каждым годом появляется все больше вариантов его реализации.

Отличаются они между собой по нескольким ключевым параметрам:

• бюджету;
• срокам;
• осведомленности заказчика;
• величине области тестирования;
• целей тестирования.

Если первые факторы обсуждаемы и гибки, то определение целей тестирования – краеугольный камень при выборе варианта работ.

Основных целей две:

1. Продемонстрировать уязвимости области тестирования;
2. Повысить безопасность области тестирования.

Все остальные задачи являются производными от указанных выше. Кроме того, если у отдела информационной безопасности есть другие задачи, то и их легко можно связать с двумя указанными выше. Например, есть необходимость получить бюджет на новый межсетевой экран или дополнительного сотрудника, – тогда первая цель вполне подходит.

Если компания уже достигла достаточно зрелого уровня, когда у нее существует потребность в объективной и независимой оценке защищенности, а также в получении рекомендаций по ее улучшению, то только вторая цель имеет «право на жизнь». Основываясь на ней, и будем далее сравнивать варианты пентеста.

Применяемые методики и инструменты пентеста

Понимание термина «методика пентеста» является неоднозначным как в литературе, так и у специалистов-исполнителей. Мы под ним понимаем объем сведений, которые предоставляются тестировщику для начала работ. Выделяется три методики, которые отличаются по количеству начальных данных, имеющихся для пентеста:

1. Белый ящик;
2. Серый ящик;
3. Черный ящик.

Белый ящик

Передача тестировщику административного доступа к инфраструктуре или исходного кода от программного обеспечения. Данный метод дает наиболее широкое покрытие, но одновременно является самым дорогим и долгим. Также он не позволит произвести демонстрацию, ведь можно показать получение доступа, а если он и так есть, то откуда взяться красивым картинкам?

Серый ящик

Имеет различные варианты реализации, но в основном под этим вариантом подразумевается предоставление доступа в сеть с правами непривилегированного пользователя и исполняемых файлов программного обеспечения / тестового стенда. Он является достаточно универсальным.

Черный ящик

Отсутствие у тестировщика легитимных доступов и сведений о приложении (требуется скачивать его из магазина приложений или приобретать как обычному пользователю). Данный метод проведения пентеста позволяет выявить не самое большое количество нарушений, но демонстрирует возможности потенциального злоумышленника, ведь тестировщик в одних с ним условиях.

Немного о инструментах пентестера

Их можно грубо разделить на автоматические (сканеры и средства для перебора паролей) и ручные (например, консоль и среда разработки приложения). Комбинация инструментов сильно зависит от области тестирования и не имеет решающего значения. Следует отметить, что ограничиться одним только сканированием – не значит провести пентест, поскольку данная операция предполагает лишь поиск уязвимостей, а без их анализа, то есть верификации, оценки, рекомендаций по устранению, – пентест не может считаться выполненным качественно.

Как оценить результат пентеста

Результативность пентеста можно и нужно оценивать. Причем гораздо тщательнее, чем любой другой процесс, ведь любые недостатки здесь негативно сказываются на безопасности.

Сразу скажем, что оценка отчета по пентесту – не то же самое, что оценка пентеста.

Требования к документу предъявляются разные, в зависимости от того, кому его предполагается предъявлять и как использовать. А вот у самого пентеста есть вполне измеримые показатели качества. Первый и главный – полнота.

Должны быть проверены на уязвимости все хосты в области тестирования. В зависимости от условий договора и применяемых методик может быть произведена как инструментальная проверка, так и ручная. Но все ресурсы должны подвергаться анализу. То же самое касается и WEB-приложений – все страницы, ссылки, каталоги и настройки необходимо проверять.

Далее перечислим косвенные показатели качества пентеста:

• обновленный лицензионный инструментарий (хотя можно и без него);
• подробный отчет с четкими рекомендациями и описанием векторов атак;
• появление (или, напротив – недопущение) отказа в обслуживании;
• нарушение конфиденциальности информации.

Что часто заказывают и что лучше работает

К сожалению, на практике чаще всего заказывают наиболее дешевые варианты. Среди них – простые автоматизированные пентесты внешних периметров и элементарная социальная инженерия с претекстингом (текстовым побуждением сотрудника переслать конфиденциальные данные). По итогам 2021 года, 60% работ приходилось именно на этот вид услуг. Однако, в этом году акцент смещается в пользу полноценных проектов.

Наиболее эффективными являются пентесты, связанные с выездом в контролируемую зону. На месте бывает достаточно физического доступа к сети, чтобы получить конфиденциальную информацию. На выездные пентесты приходится, к сожалению, не более 30% работ.

Оставшиеся 10% – гибридный вариант, эффективность которого ввиду малой статистики спорная. Он подразумевает предоставление удаленного доступа к корпоративной сети с имитацией физического подключения. Следует отметить, что подобные проекты начали появляться только в 2020г. (единицы – в конце 2019г.). В пандемию спрос на них вырос и достиг указанного выше процента.

Оптимальные варианты пентеста для разных уровней бизнеса

Исходить из различных уровней бизнеса при планировании пентеста стоит не только потому, что финансовые возможности по обеспечению безопасности разные у разных категорий. Дело в актуальности разного рода нарушителей и угроз. Рассмотрим на примерах:

• Для небольшой сети кофеен или магазинчиков будет достаточно пентеста по черному ящику – тратить средства на физическое подключение к терминалу злоумышленник явно не станет.
• Для организаций, активно пользующихся “удаленкой” сотрудников, самым актуальным будет гибридный вариант удаленного внутреннего пентеста, поскольку именно такой вид подключения является самым уязвимым звеном.
• Для организации с большим количеством офисных работников – однозначно требуется очное присутствие в офисе. Элементы социальной инженерии на месте вкупе с пониманием парольной политики дают очень высокий результат по отработке векторов атак с использованием не только системных уязвимостей, эффективного сканирования хостов сети, включая анализ безопасности сайта.
• Социальную инженерию стоит проводить тогда, когда рядовые сотрудники имеют доступ к конфиденциальной информации, например, в финансовых организациях. Разумеется, совмещая ее с техническим тестированием.

Резюмируя

Можно сказать, что вариантов пентеста – немало, особенно если мы имеем в виду гибридные формы. Выбирая подходящий именно вашей компании, исходя из ее масштабов, особенностей и возможностей, нужно помнить о главном: пентест – это не то, что делается «для галочки». При умелом обращении этот инструмент может не только принести безусловную помощь, но и сэкономить немало нервов и денег.