Тест на проникновение (пентест) и анализ уязвимостей

Где встречаются требования проводить пентест?

В РФ проведение пентеста требуется согласно положениям Банка России 382-П, 683-П и 684-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации.

• Согласно п. 2.5.5.1 Положению № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение (далее — пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Данное требование было введено указанием Банка России 4793-У. Фактически Банком России введено требование проведения пентеста на ежегодной основе.
• Согласно п. 3.2 Положению № 683-П Центральный банк требует также обеспечить ежегодный пентест и анализ уязвимостей.
• Согласно п.5.4 Положению № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Внешний пентест

Внешний пентест моделирует действия нарушителя, и предполагает действия хакера снаружи. Данный вариант пентеста состоит из следующих этапов:

1. Сбор информации. Пентестера интересуют, как правило, адреса внешнего периметра Заказчика – web-сайты, серверы. При этом анализируется как общедоступная информация, информация переданная Заказчиком, так и, в ряде случаев, конфиденциальная информация, полученная от третьих лиц. Часть сведений или вся необходимая информация может быть передана по договору Исполнителю непосредственно Заказчиком.
2. Поиск уязвимостей. На данном этапе применяются различные сканеры, которые, в общем случае, могут дополнять друг-друга. Из наиболее известных – Nessus, XSpider, OpenVAS, Maxpatrol.
3. Эксплуатация уязвимостей. На данном этапе от пентестеров требуется творческий подход – ведь этичному хакеру нельзя допустить ущерб инфраструктуре Заказчика, поэтому данный этап в ряде случаев пропускается. Эксплуатация уязвимостей происходит только с согласия Заказчика при условии не допустить нарушение функционирования систем.

Отдельным направлением внешнего пентеста является социальная инженерия. Наиболее массово используемым ее видом инструментом является рассылка зараженных электронных писем. По результатам рассылки анализируется не только работа антивирусных средств и инструментов мониторинга трафика, но и главный фактор – ответственность сотрудников при реагировании на получение подобных писем. Сам факт открытия письма уже может быть предметом внутреннего разбирательства или основанием для обучения сотрудников базовым требованиям ИБ.

Внутренний пентест

Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.

Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:

• Поиск доступной информации (зачастую рядовому пользователю доступна конфиденциальная информация, находящаяся на сетевом ресурсе, просто ярлык от ресурса явно не выведен на рабочий стол)
• Повышение прав доступа за счет эксплуатации известных уязвимостей
• Повторный поиск информации с повышенными правами – в зависимости от согласованного с заказчиком ТЗ.

Методика проведения пентеста

Поскольку методика проведения пентестов регуляторами не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:

1. Пентест (pentest) может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в техническом задании на пентест или применяемой методике пентеста требование не эксплуатировать обнаруженные уязвимости.
2. Тестирование на проникновение – достаточно широкое понятие. Оно может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в то же время, отразится на сроках и стоимости.
3. В качестве исполнителя работ может привлекаться организация – лицензиат ФСТЭК России (имеющая лицензию на техническую защиту конфиденциальной информации).
4. Требование проводить пентест по 382-П является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ.

Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.

Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.

Пример технического задания на проведение пентеста по 382-П

С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.

Мы обладаем лицензиями:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты