Стресс-тестирование по типовому техническому заданию

Появление и задача типового ТЗ

Требование по оценке уровня защищенности направлялись значимым субъектам КИИ по списку рассылки впервые в 2022 году.

Это было связано с участившимися хакерскими атаками на органы госвласти и системнозначимые организации.

Необходимо понимать, что целью проведения данного пентеста (в законодательстве данное понятие отсутствует, поэтому принят термин «оценка защищенности») является не просто оценка, а повышение внимания организаций к возможным хакерским атакам.

Поэтому главной задачей оценки защищенности является не демонстрация возможности взлома, а анализ полного перечня векторов атак.

Состав и особенности типового ТЗ

Особенностью типового ТЗ при этом является сохранение непрерывности деятельности — явно указано, что любое действие, способное нанести вред инфраструктуре или приложению, должно заранее согласовываться.

Опыт проведения работ с 2022 года (ряд организаций добровольно решил проводить оценку защищенности по типовому ТЗ на периодической основе) показал, что для 75% заказчиков работы, состоящие из сканирования и последующего анализа уязвимостей способны выявить существенные бреши в информационной безопасности.

Типовое ТЗ состоит из:

1. Требований к тестированию внешнего периметра
2. Требований к тестированию WEB-приложений
3. Требований к отчетности

Требования к тестированию укрупненно включают в себя следующие пункты:

• Сбор информации (в том числе из открытых источников)
• Сканирование сети и приложения
• Анализ уязвимостей и построение векторов атак
• Развитие атак, включая эксплуатацию и перебор паролей

Сроки и стоимость выполнения этих пунктов напрямую зависят от объема инфраструктуры (числа внешних IP) и количества и сложности WEB-приложений.

На практике, сроки варьируются от двух недель до нескольких месяцев — это стоит учесть при планировании проведения данных работ.

Стресс-тестирования по требованиям Банка России

На типовое ТЗ также ссылается письмо по списку рассылки, направленное в январе 2024 года финансовым организациям.

Данное письмо имеет две особенности, которые следует учесть:

1. Под стресс-тестированием уровня защищенности информационной инфраструктуры Банк России не подразумевает атаки типа отказ в обслуживании. Исходя из тенденций работы департамента информационной безопасности, основная цель — оценить работу службы ИБ при попытке проникновения. Данный аспект не очевиден из официального письма и типового ТЗ (а также типового отчета), однако, следует его учесть при планировании и проведении работ. Можно предположить, что требование связано с развитием концепции киберучений, курс на которую ЦБ взял еще в конце 2022 года.
2. Сроки выполнения требования ЦБ являются достаточно сжатыми, что потребует ресурсного обеспечения, как в плане финансов, так и времени ответственных сотрудников.

Дополнительно к типовому отчету следует отразить:

• Реакцию средств защиты на действия тестировщиков
• Хронологию действий персонала по фиксации попыток проникновения и реагирования на них

Почему RTM Group?

• Большой опыт проведения пентестов по типовому ТЗ;
• Команда специалистов, специализирующихся на внешнем периметре и WEB-приложениях;
• Опыт работы с финансовыми организациями, подтвержденный благодарственными письмами с 2019 года;
• Гибкое ценообразование при заключении договора на периодическое проведение работ.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты