Различные подходы при тестировании позволяют не только формально удовлетворять требованиям положения, ни и быть уверенными в защищенности Вашей информационной инфраструктуры.
Тестирование на проникновение требуется как 683-П, 382-П, 719-П, 757-П так и ГОСТ 57580.
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все эксперты
Консультант по информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2020 года
Все экспертыТестирование на проникновение (пентест, penetration test) – это моделирование действия злоумышленника, направленное на обнаружение уязвимостей информационной безопасности, и как следствие, повышение уровня защищенности.
Пентест необходим для проверки уровня информационной безопасности инфраструктуры организации, а так же требуется банкам и некредитным финансовым организациям (согласно положениям Банка России 382-П, 683-П, 719-П, 757-П). Также пентест требуется для обеспечения безопасности значимых объектов КИИ.
Компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия.
В РФ проведение пентеста требуется согласно положениям Банка России 382-П, 683-П, 719-П и 757-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации.
Важно!
В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» тестирование на проникновение является лицензируемым видом деятельности и проводить пентест имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.
Тестирование на проникновение может быть внешним и внутренним. В качестве одного из элементов внешнего пентеста выделяется социальная инженерия.
Внешний пентест моделирует действия нарушителя, и предполагает действия хакера снаружи. Данный вариант пентеста состоит из следующих этапов:
Отдельным направлением внешнего пентеста является социальная инженерия. Наиболее массово используемым ее видом инструментом является рассылка зараженных электронных писем. По результатам рассылки анализируется не только работа антивирусных средств и инструментов мониторинга трафика, но и главный фактор – ответственность сотрудников при реагировании на получение подобных писем. Сам факт открытия письма уже может быть предметом внутреннего разбирательства или основанием для обучения сотрудников базовым требованиям ИБ.
Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.
Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:
Поскольку методика проведения пентестов регуляторами не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:
Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.
Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.
При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.
Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.
Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.
В результате действий пентестера, выявляются недостатки информационной безопасности, которые могут заключаться в следующем:
| № п.п. |
Раздел | Содержание раздела для внутреннего пентеста |
Содержание раздела для внешнего пентеста |
| 1 | Время тестирования | 15 рабочих дней | 5 рабочих дней |
| 2 | Время составления отчета | 5 рабочих дней | 5 рабочих дней |
| 3 | Формат тестирования |
|
|
| 4 | Объем тестирования |
|
Общедоступные ресурсы Заказчика — до 10 шт. |
| 5 | Эксплуатация уязвимостей | Не проводится | Не проводится |
| 6 | Исходные данные для тестирования |
|
IP и/или URL-адреса ресурсов Заказчика |
| 7 | Состав отчета |
|
|
| 8 | Дополнительные условия | Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение | Необходимо обеспечить доступность (работоспособность) тестируемых ресурсов на все время проведения пентеста. |
| 9 |
Стоимость | от 200 000 рублей | от 150 000 рублей |
С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.
Мы обладаем лицензиями:
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
бесплатно |
|
Социальная инженерия (email) Срок — от 2 недель |
от 150 000 руб. |
|
Расширенная социальная инженерия (email + телефон) Срок — от 2 недель |
от 300 000 руб. |
|
Полная социальная инженерия (email + телефон + очно) Срок — от 6 недель |
от 500 000 руб. |
|
Пентест внешних ресурсов (до 10 IP-адресов) Срок — от 2 недель |
от 150 000 руб. |
|
Пентест внутренних ресурсов (удаленно) Срок — от 4 недель |
от 200 000 руб. |
|
Пентест внутренних ресурсов (очно) Срок — от 2 недель |
от 300 000 руб. |
|
RED TEAM (Редтиминг) |
от 1 500 000 руб. |
|
Приложения (ПО заказчика) Срок — от 4 недель |
от 300 000 руб. |
|
Пентест сайта Срок — от 5 рабочих дней |
от 100 000 руб. |
Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?
Виктор Владимирович
По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.
Музалевский Фёдор Александрович
Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?
Максим
Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.
Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.
Музалевский Фёдор Александрович
Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?
Алексей
Здравствуйте!
Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.
Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»
Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»
Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.
Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.
При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).
Кобец Дмитрий Андреевич
Здравствуйте!
Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?
Алексей
Здравствуйте!
В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.
Музалевский Фёдор Александрович
Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?
Михаил
Пентест включает в себя анализ уязвимостей инфраструктуры — серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.
Исследование ПО на уязвимости по уровню ОУД4 — это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.
Музалевский Фёдор Александрович
Банком приобретается новое мобильное приложение, когда надо проводить пентест?
Ольга
Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.
Музалевский Фёдор Александрович
Здравствуйте!
Я использую Debian 9 чтобы на нём стоял мой сервер minecraft. И недавно, он подвергся взлому, да-да именно дедик. Они зашли на него каким то путем обхода, минуя авторизацию, так же я заметил махинации что к дедику началось около 20-и конектов и брут к sftp, хотя он у меня даже не запущен. Все логи на дедике стерты, это всё что я мог узнать.
Я хочу чтобы вы сказали, как хакеры могли обойти систему авторизации SSH?
Zurilama
Способов обхода авторизации SSH существует несколько.
Самый актуальный — это перехват параметров подключения администратора ресурса.В Вашем случае, это, вероятнее всего, Вы.
Злоумышленник (хакер) может просто подселить троян к Вам на компьютер, и перехватить вводимые Вами логин и пароль, а также украсть сертификат.При отсутствии сертификата наиболее распространенный способ взлома — перебор (брут) пароля. При невысокой сложности пароля и отсутствии защиты от перебора — результат для злоумышленника лишь вопрос времени.
Это два основных способа преодолеть защиту подключения SSH.
Музалевский Фёдор Александрович
Здравствуйте. Я студент, учусь на специалиста по информационной безопасности, пишу курсовую на тему: «Особенности внедрения подсистем предотвращения утечек КИ в систему комплексной безоп на пп.»
Как основную систему предотвращения утечек рассматриваю систему DLP и был бы очень благодарен, если Вы поможете с основными (общими) этапами проведения пентеста.
Студент
Добрый день.
DLP, как класс систем, является даже не основным, а, скорее, единственным. Просто многие продукты, позиционируемые иначе, содержат функционал DLP (например, тот же KES с возможностью блокировки флешек).
На Вашем месте я бы сделал упор не на пентест, а на возможности интеграции DLP с другими системами безопасности — в первую очередь SIEM и AD — так как комплексная система содержится в названии работы.
Отвечая на Ваш вопрос можно выделить (не всегда этапы таковы, но в среднем похоже):
- инвентаризация области тестирования — сбор сведений об узлах сети, информационных системах, сетевом трафике, учетных данных и прочее — зачастую конфиденциальная информация находится уже на этом этапе в открытом доступе;
- поиск уязвимостей — по общедоступным базам либо закрытым базам тестировщиков;
- проверка прочности аутентификации (брутфорс);
- попытка повышения прав доступа;
- доступ к конфиденциальной информации.
Музалевский Фёдор Александрович
