Рассказываем, что такое тестирование на проникновение, каким компаниям оно жизненно необходимо и что грозит тем, кто регулярно не проводит пентест.
В поисках киберуязвимостей злоумышленники постоянно меняют инструменты и тактику. Чтобы понять, работают или нет ваши меры в области цифровой безопасности, их нужно проверить на прочность. Проще говоря — попытаться взломать, почти по-настоящему. Только в случае тестирования инфраструктуры на проникновение, или пентеста (англ. pentest — penetration test), взлом находится полностью под контролем бизнеса, и успешная попытка ничем не угрожает.
Главная цель пентеста — найти в инфраструктуре и приложениях уязвимости, которые потенциально могут быть использованы злоумышленниками. Кроме того, тестирование на проникновение помогает понять, насколько эффективны разработанные политики в области IT-безопасности и стоит ли их совершенствовать. Иногда пентесты проводятся, чтобы проверить готовность специалистов ИБ к отражению атак.
Кому нужен пентест
Для банков и финансовых организаций тестирование на проникновение — обязательная процедура. Например, согласно Положению Банка России от 17 апреля 2019 г. N 683-П (п. 3.2), банки должны организовать проведение пентеста для проверки своих интернет-ресурсов на уязвимости. Подобных нормативных требований много, а за их неисполнение предусмотрены санкции. Если компания не проведет тестирование, регулятор может ее оштрафовать.
Но дело не только в штрафах. Многие коммерческие и государственные организации регулярно проводят подобную проверку, чтобы быть уверенными в надежной защите своих систем. Тестирование на проникновение — это инвестиция в безопасность, так как незакрытые вовремя бреши могут привести к многомиллионным потерям в случае успешной атаки.
Также информация об утечках часто попадает в прессу и подрывает доверие клиентов и партнеров. Но утечки не только портят имидж, за них тоже предусмотрены штрафы. В отношении данных граждан европейских стран действует регламент GDPR (General Data Protection Regulation), компании за подобные утечки штрафуют. При этом размер штрафа рассчитывается по доходу материнской компании.
Кто проводит тестирование
Тестирование на проникновение — технически сложная процедура. Одно неосторожное действие может привести к необратимым последствиям — падению ресурса или удалению критичной информации. Именно поэтому пентест должны проводить опытные специалисты, которые знают, как «взломать» систему и при этом ничего не повредить. Иногда их еще называют «белыми хакерами».
Стороны договариваются, что необходимо проверить. Например, компании необходимо выяснить, можно ли повысить привилегии пользователя в системе при наличии украденных учетных данных. После завершения тестирования заказчик получает подробный отчет с рекомендациями по устранению и профилактике уязвимостей — например, компания может установить более строгую парольную политику.
Найдите уязвимости ИТ-системы
Проведите аудит информационной безопасности вашего бизнеса с надежным партнером, которому доверяют крупнейшие банки России
Узнать подробнее
Разновидности тестирования
Две главных разновидности тестирования на проникновение — внутреннее и внешнее. В случае внутреннего тестирования исполнитель действует внутри инфраструктуры клиента со своим ноутбуком и, например, пытается повысить привилегии пользователя.
В случае внешнего тестирования атака производится извне. При этом специалисты различают три основных метода — «черный ящик», «серый ящик» и «белый ящик».
Метод «черного ящика» — исполнитель ничего не знает о системе и пытается произвести взлом, полагаясь на свои инструменты и открытую информацию. Таким образом имитируются действия обычных злоумышленников. В этом случае компания проверяет, насколько готовы ее системы к отражению типовых атак.
Метод «серого ящика» — исполнителю известны данные об инфраструктуре. Это имитация целевых атак и атак с участием инсайдеров — людей, работающих в компании и передающих сведения злоумышленникам. Таким способом можно, например, понять, работает ли система предотвращения утечки данных по вине сотрудников.
Метод «белого ящика» — специалист по тестированию владеет всей информацией и даже исходным кодом. Таким методом проверяется, устойчива ли система к взлому сотрудниками уровня администратора или разработчика.
Существуют также международные стандарты подобных тестирований — например, OWASP Testing Guide.
Что получает заказчик
Поскольку тестирование проводят опытные специалисты, они понимают, что необходимо «подкрутить», чтобы устранить лазейку для злоумышленников. В итоговом отчете заказчик видит список уязвимостей и все шаги, которые привели к обнаружению и эксплуатации этой уязвимости. Иногда, если это оговорено сторонами, заказчик может получить и более конкретные рекомендации, вплоть до определенных защитных решений или моделей оборудования с нужными настройками.
Пентест на аутсорсе
Тестирование на проникновение, как правило, отдается на аутсорс, потому что лучшая проверка — независимая. Кроме того, специалистов по пентестам на рынке не так много, это очень дефицитная специализация из-за крайне высокого уровня необходимой квалификации. Крупные компании стараются доверять проведение столь чувствительных процедур организациям с именем, чтобы быть уверенными в сохранности полученных результатов.
МегаФону пентесты доверяют многие лидеры рынка. Недавно в МегаФон обратился крупный банк, входящий в топ-20 в России. По итогам анализа, проведенного согласно международным стандартам, было выявлено восемь уязвимостей, в том числе небезопасное хранение и передача пользовательских данных. Банк получил пошаговые рекомендации, устранил уязвимости и усилил защиту.
