Экспертиза по анализу защищенности программного обеспечения или IT-системы

В рамках экспертизы по анализу защищенности ПО эксперту необходимо исследовать информационную систему на предмет наличия уязвимостей, а также выявить признаки их эксплуатации (если требуется). В ходе проведения исследования эксперт оценивает критичность обнаруженных уязвимостей и выстраивает причинно-следственную связь между наличием уязвимостей и событием, которое имеет отношение к делу.

Эксперты компании RTM Group готовы дать компетентную и максимально точную оценку уровня защищённости ПО, а также составить заключение для суда, которая поможет Вам взять верх в любом разбирательстве. За всё время работы ни одно наше заключение не было успешно оспорено.

Эксперты RTM Group готовы предложить:

1. Анализ защищенности мобильных, настольных и серверных приложений – сможем ответить на такие вопросы, как “имеются ли уязвимости в исследуемом программном обеспечении? Каким образом могут быть использованы уязвимости? Какие могут быть последствия неустранения обнаруженных уязвимостей?” и многие другие.
2. Тестирование методом белого и черного ящика – проведём имитационную атаку в условиях, наиболее приближенным к реальным для наиболее достоверного моделирования поведения киберпреступников.
3. Анализ уязвимостей инфраструктуры функционирования Вашей IT-системы – проведём расследование и точно определим, каким именно образом третьи лица получили несанкционированный доступ в систему. Также проконсультируем касательно профилактических мер во избежание инцидентов в будущем.

Данная услуга подходит, если:

• Требуется провести расследование инцидента ИБ и получить заключение эксперта для суда;
• Хотите повысить защищённость бизнеса перед информационными угрозами;
• Желаете оценить устойчивость вашей системы ИБ к актуальным угрозам;
• Нужно узнать, какие уязвимости использовали злоумышленники для получения доступа;
• Реальные атаки на ресурсы компании уже проводились.

Важно!

Все применяемые в рамках оценки защищённости методы (включая имитацию атаки – пентест) являются абсолютно безвредными и используются исключительно с целью сбора статистики о совершении сотрудниками небезопасных с точки зрения защиты информации действий. Все данные заказчика, которые могут получить эксперты в рамках работы, являются строго конфиденциальными и ни при каких обстоятельствах не передаются третьим лицам.

Что получает заказчик:

1. Заключение квалифицированного эксперта с многолетним опытом, которое можно использовать для доказывания по делу в суде или иных целей.
2. Оценку готовности системы информационной безопасности к посягательствам злоумышленников и понимание уровня защищённости данных;
3. Готовые решения от экспертов, позволяющие значительно повысить устойчивость к атакам с использованием уязвимостей ПО;
4. Увеличение эффективности существующих внутренних регламентов по информационной безопасности или создание нового.

Подходы к проведению анализа защищенности

Принято выделять три основных подхода к проведению анализа защищенности:

1. Принцип черного ящика. В данном подходе исследователь ничего не знает ни про объект исследования, ни про средства и методы защиты, ни про организационную структуру. Эксперт должен анализировать варианты внешнего проникновения и возможность получения доступа к инфраструктуре и информации. Для этого эксперт может анализировать порты у сетевого оборудования, применять социальную инженерию и пр. В конечном итоге, задача эксперта – получить доступ к инфраструктуре, получить информацию и/или права в информационной системе, например, пароль и логин администратора.
2. Принцип серого ящика. Предварительно у исследователя есть вводные данные, возможно учетная запись, доступ к проводной сети или Wi-Fi. Эксперт может развивать атаку и получать дополнительные права.
3. Принцип белого ящика. В рамках данного подхода проводится внутреннее исследование с наличием большого объема первичной информации. При таком анализе защищенности, исследователь видит всю инфраструктуру, понимает, как работает компания и используемые ей системы, может собрать данные о средствах и методах защиты, провести внутреннее сканирование и выявить максимальный объем уязвимостей.

Пентестом можно назвать только первый подход, когда эксперт работает по принципу черного ящика. Некоторые исследователи также называют пентестом серый ящик.

Применительно к судебным экспертизам актуален подход белого ящика. Для исследователя важно получить максимальный объем исходных данных, найти и продемонстрировать суду возможность эксплуатации найденных уязвимостей.

В компании RTM Group накоплен большой опыт проведения судебных экспертиз, экспертами освоены все группы компьютерно-технических экспертиз и нормативных экспертиз по направлению информационной безопасности. Имеется обширная практика работы экспертами, специалистами, а также представителями стороны по делу. Эксперты обладают уникальным опытом участия в судебных процессах, требующих проведения анализа защищенности систем дистанционного банкинга (ДБО) и прочих IT-систем.

Экспертиза по анализу защищенности позволяет установить и продемонстрировать суду механизм атаки проведенной внутренним или внешним злоумышленником.

Экспертиза по анализу защищенности ИТ-системы позволяет ответить на вопросы:

• Имеются ли уязвимости в исследуемом программном обеспечении? Каким образом могут быть использованы уязвимости? Описать обнаруженные уязвимости.
• Какие могут быть последствия неустранения обнаруженных уязвимостей?
• Какие действия могут быть произведены при наличии обнаруженных уязвимостей?
• Можно ли подтвердить или опровергнуть проведение анализа защищенности в отношении исследуемых систем в 20ХХ году?
• Возможно ли совершить операции по счету клиента банка путем использования обнаруженных уязвимостей?
• Какие действия должны быть совершены для эксплуатации уязвимости?
• Каким образом были совершены изменения в исследуемой системе, была ли проэксплуатирована уязвимость? Установить авторство изменений.
• Какие уязвимости системы эксплуатировались для совершения хищения?
  И пр.

При рассмотрении дел, в которых требуется установить наличие/отсутствие известных уязвимостей и фактов их эксплуатации, необходимо учитывать, что после того как злоумышленник обнаружил конкретные уязвимости, дальнейшие действия злоумышленников направлены исключительно на поиск инструментария, для эксплуатации найденных уязвимостей. Сложность и длительность процедуры поиска инструментария ограничивается только финансовыми возможностями злоумышленников.

Соответственно наличие уязвимостей уже само по себе является «приглашением» для злоумышленников. Взлом уязвимой системы становится лишь делом времени и экономической целесообразности для злоумышленников.

Чтобы минимизировать вероятность стать жертвой злоумышленников, возможно проведение анализа защищенности до этапа эксплуатации или в процессе эксплуатации. При этом методики и полнота исследований полностью идентичны судебной экспертизе с той лишь разницей, что результаты исследования полностью передаются заказчику и используются им для предотвращения инцидентов, а не для ликвидации их последствий. Помимо этого, по результатам аудита экспертами может быть вынесен ряд рекомендаций по оптимизации защищенности рабочих мест, программного обеспечения и информационной инфраструктуры Заказчика.

Принято выделять 2 большие категории злоумышленников:

• Внутренний злоумышленник
• Внешний злоумышленник

К внутренним злоумышленникам относятся сотрудники, клиенты и подрядчики, т.е. те лица, которые могут получить информацию об имеющихся уязвимостях в рамках легальной работы. К внешним злоумышленникам относятся все остальные.

Как показывает опыт экспертов RTM Group, основная угроза исходит именно от внутренних злоумышленников. Таким образом, экспертиза по анализу защищенности может включать в себя раздел по оценке нормативного обеспечения работы ИТ-систем, а также раздел по существующему разграничению прав доступа.

В случае проведения экспертизы по анализу защищенности во внесудебном порядке экспертами RTM Group может быть проведена оценка последствий для бизнеса, включая правовые последствия. Это позволяет категорировать уязвимости по уровню угрозы.

Что входит в комплекс экспертиз по анализу защищенности?

Экспертиза по анализу защищенности представляет собой технический аудит информационной безопасности. В отличие от стандартного аудита, перед началом работ должен быть определен перечень объектов исследований, формализована методика проведения экспертизы, описаны используемые материалы и оборудование.

В случае проведения судебной экспертизы все необходимые исходные данные, а также формулировки вопросов должны быть достаточными и корректными. Поэтому крайне желательно предварительное привлечение в судебное заседание специалиста еще до назначения судебной экспертизы.

В зависимости от поставленных вопросов могут применяться различные методики, материалы и оборудование. Информация относительно методик, материалов и оборудования может быть предоставлена суду заранее. Открытость методик, возможность повтора исследования и верификации выводов эксперта, позволяет суду вынести обоснованное решение по рассматриваемому делу.