+7 (495) 309-31-25 пн.-пт.: 10:00 - 17:00
RTM Group » Услуги »  382-П / 684-П / 683-П (Информационная безопасность финансового сектора) » Тест на проникновение (пентест) и анализ уязвимостей

Оглавление:

1Где встречаются требования проводить пентест?2 Пример технического задания на проведение пентеста по 382-П, 683-П, 684-П3 Цена проведения пентеста4 Заказать пентест

Тест на проникновение (пентест) и анализ уязвимостей

Тестирование на проникновение (пентест) – это моделирование действия злоумышленника, направленное на обнаружение уязвимостей информационной безопасности, и как следствие, повышение уровня защищенности.

Где встречаются требования проводить пентест?

В РФ проведение пентеста требуется согласно положениям Банка России 382-П, 683-П и 684-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации.

  • Согласно п. 2.5.5.1 Положению № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение (далее — пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Данное требование было введено указанием Банка России 4793-У. Фактически Банком России введено требование проведения пентеста на ежегодной основе.
  • Согласно п. 3.2 Положению № 683-П Центральный банк требует также обеспечить ежегодный пентест и анализ уязвимостей.
  • Согласно п.5.4 Положению № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Каким бывает пентест?

Тестирование на проникновение может быть внешним и внутренним. В качестве одного из элементов внешнего пентеста выделяется социальная инженерия.

Внешний пентест

Внешний пентест моделирует действия нарушителя и предполагает действия хакера снаружи. Данный вариант пентеста состоит из следующих этапов:

  1. Сбор информации. Пентестера интересуют, как правило, адреса внешнего периметра Заказчика – web-сайты, серверы. При этом анализируется как общедоступная информация, информация переданная Заказчиком, так и, в ряде случаев, конфиденциальная информация, полученная от третьих лиц. Часть сведений или вся необходимая информация может быть передана по договору Исполнителю непосредственно Заказчиком. 
  2. Поиск уязвимостей. На данном этапе применяются различные сканеры, которые, в общем случае, могут дополнять друг-друга. Из наиболее известных – Nessus, XSpider, OpenVAS, Maxpatrol.
  3. Эксплуатация уязвимостей. На данном этапе от пентестеров требуется творческий подход – ведь этичному хакеру нельзя допустить ущерб инфраструктуре Заказчика, поэтому данный этап в ряде случаев пропускается. Эксплуатация уязвимостей происходит только с согласия Заказчика при условии не допустить нарушение функционирования систем.

Отдельным направлением внешнего пентеста является социальная инженерия. Наиболее массово используемым ее видом инструментом является рассылка зараженных электронных писем. По результатам рассылки анализируется не только работа антивирусных средств и инструментов мониторинга трафика, но и главный фактор – ответственность сотрудников при реагировании на получение подобных писем. Сам факт открытия письма уже может быть предметом внутреннего разбирательства или основанием для обучения сотрудников базовым требованиям ИБ.

Внутренний пентест

Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.

Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:

  • Поиск доступной информации (зачастую рядовому пользователю доступна конфиденциальная информация, находящаяся на сетевом ресурсе, просто ярлык от ресурса явно не выведен на рабочий стол)
  • Повышение прав доступа за счет эксплуатации известных уязвимостей
  • Повторный поиск информации с повышенными правами – в зависимости от согласованного с заказчиком ТЗ.

Методика проведения пентеста

Поскольку методика проведения пентестов регуляторами не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:

  1. Пентест может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в техническом задании на пентест или применяемой методике пентеста требование не эксплуатировать обнаруженные уязвимости.
  2. Тестирование на проникновение – достаточно широкое понятие. Он может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в тоже время, отразится на сроках и стоимости.
  3. В качестве исполнителя работ может привлекаться только организация – лицензиат ФСТЭК России (лицензия на техническую защиту конфиденциальной информации).
  4. Требование проводить пентест по 382-П является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ.

Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.

Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.

Какие результаты пентеста можно получить?

В результате действий пентестера, выявляются недостатки информационной безопасности, которые могут заключаться в следующем:

  • Некорректное разграничение прав доступа
  • Слабые пароли
  • Неактуальные версии программного обеспечения
  • Плохая сегментация вычислительной сети
  • И пр.

Пример технического задания на проведение пентеста по 382-П


п.п.		 Раздел Содержание раздела для внутреннего пентеста
 Содержание раздела для внешнего пентеста
1 Время тестирования 15 рабочих дней 5 рабочих дней
2 Время составления отчета 5 рабочих дней 5 рабочих дней
3 Формат тестирования
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
4 Объем тестирования
  • Рабочие станции – 10-20 шт.
  • Серверы – 5-10 шт.
  • WEB-сервисы – не тестируются
 Общедостпуные ресурсы Заказчика — до 10 шт
5 Эксплуатация уязвимостей Не проводится Не проводится
6 Исходные данные для тестирования
  • VPN-доступ в сеть Заказчка
  • RDP-доступ к рабочей станции с правами непривелигированного пользователя домена
  • Права локального администратора на рабочей станции (по запросу)
 IP и/или URL-адреса ресурсов Заказчка
7 Состав отчета
  1. Применяемые средства
  2. Методика тестирования
  3. Обнаруженные недостатки защищенности
  4. Перечень учетных записей, к которым удалось скомпрометировать пароли
  5. Перечень рекомендаций по повышению защищенности
8 Дополнительные условия Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение Необходимо обеспечить доступность (работоспособность) тестируемых ресурсов на все время проведения пентеста.
9
 Стоимость от 200 000 рублей от 150 000 рублей

 

С учетом изложенных выше нюансов, RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов на проникновние – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.

Мы обладаем лицензиями:

  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

 

Цена проведения пентеста

Наименование экспертизы Стоимость
Тестирование на проникновение (пентест) и анализ уязвимостей от 150 000 рублей

Заказать пентест

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.

Что такое пентест?

Что такое пентест?

- Что входит в тестирование на проникновение?
- Примеры пентестинга
- Что является результатом пентеста?
- Заключение