В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Тестирование на проникновение, как правило, является частью аудита информационной безопасности и относится к так называемому активному анализу, дополняющему "пассивный" анализ уязвимостей информационной системы, осуществляемый при помощи инструментальных средств – сканеров безопасности.
Целью тестирования на проникновение является оценка возможности успешного проведения злоумышленником атаки (в т.ч. целевой) на информационную систему и ее последствий, а его задачи следующие:
В ходе тестирования на проникновение моделируется поведение потенциального нарушителя, проводящего активную атаку на систему, посредством эксплуатации выявленных в ходе атаки уязвимостей. Результатом тестирования, как правило, является отчет, содержащий в себе все найденные уязвимости безопасности информационной системы и рекомендации по их устранению.
Как правило, при проведении тестирования на проникновение осуществляется моделирование поведения следующих видов нарушителей:
Стандартный классический подход к защите информации, обрабатываемой в информационных системах, базируется на гипотетической оценке поведения потенциального нарушителя, моделировании угроз и построении на их основе системы защиты. При этом моделирование поведения нарушителя применительно к реально функционирующей информационной системе, как правило, не используется. Отсюда давно известная проблема: применяемые меры безопасности во многих случаях не могут обеспечить эффективную защиту информационной системы, несмотря на то что по документации все идеально (преобладание "бумажной безопасности").
С учетом этого, по мнению автора, проведение тестирования на проникновение необходимо для любой информационной системы, но прежде всего для информационной системы, являющейся объектом критической информационной инфраструктуры1.
Так, в соответствии со ст. 1 и ст. 4 Федерального закона от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" целью данного федерального закона является устойчивое функционирование критической информационной инфраструктуры Российской Федерации при проведении в отношении нее компьютерных атак, а одним из принципов обеспечения безопасности – приоритет предотвращения компьютерных атак.
Таким образом, несмотря на то что в настоящее время обязательного требования по проведению тестирования на проникновение в действующем законодательстве пока2 не сформулировано, по мнению, автора, без проведения учебного моделирования атаки на информационную систему и успешного ее отражения вряд ли можно говорить о достаточности принятых мер защиты.
Изложенные в данном разделе рекомендации включают, прежде всего, управленческие вопросы, связанные с организацией проведения тестирования на проникновение в организации, основанные исключительно на опыте автора.
Первое, что необходимо определить в процессе организации тестирования на проникновение, – кто будет его проводить: собственные ИТ-, ИБ-специалисты или внешние. По мнению автора, качественное тестирование в большинстве случаев может провести специалист, имеющий квалификацию CEH (Certificated Ethical Hacker) или OSCP (Offensive Security Certified Professional), подтвержденную соответствующим сертификатом.
Дефицит указанных специалистов обуславливает высокую стоимость оплаты их труда, что при вопросе о целесообразности повышения квалификации специалистов по информационной безопасности внутри организации (перед автором вставал такой вопрос) приводит к отрицательному ответу, т.к. высока вероятность ухода подобного специалиста к интегратору на более высокую заработную плату и лучшие условия труда.
Следующим шагом после принятия решения о том, кто будет проводить тестирование на проникновение, является определение тех методов, которые будут использоваться: "черный ящик", "серый ящик", "белый ящик" или комбинированный метод.
На данном этапе необходимо проанализировать действующую модель нарушителя с целью выявления наиболее вероятных для конкретной информационной системы категорий злоумышленников. При этом следует иметь в виду, что согласно официальной статистике наиболее распространенным и наиболее опасным является внутренний нарушитель. При этом под внутренним нарушителем не всегда необходимо понимать работника организации. В корпоративных информационных системах нередко в качестве внутреннего нарушителя может выступать работник (представитель) контрагента, имеющий легальный (санкционированный) доступ в информационную систему. К примеру, автор много лет проработал в системе обязательного медицинского страхования, где для корпоративных информационных систем характерна следующая особенность: к информационным системам территориальных фондов обязательного медицинского страхования имеют санкционированный доступ работники медицинских учреждений и страховых медицинских организаций, в части своих сегментов. При этом нередки случаи, когда указанный внутренний нарушитель (именно внутренний, т.к. круг субъектов ограничен, они имеют санкционированный доступ к ресурсам информационной системы и подключаются к ней по защищенным каналам связи) пытается расширить свои привилегии (залезть в чужой сегмент).
После определения методов проведения тестирования на проникновение можно начинать саму процедуру. На данном этапе, в случае привлечения внешних специалистов, необходимо осуществлять контроль за ходом работ, т.к. их проведение в ряде случаев может приводить к нарушению работоспособности системы. Как правило, работы по тестированию на проникновение включают в себя следующие этапы:
Заключительным этапом тестирования на проникновение является разработка плана мероприятий по устранению выявленных уязвимостей безопасности информационной системы. Конкретные меры по устранению уязвимостей вырабатываются исходя из полученного по результатам тестирования отчета, с учетом специфики информационной системы, поэтому конкретные рекомендации в этой части дать, пожалуй, не представляется возможным. Единственным предложением, которое хотел бы высказать автор, является проведение последующего тестирования на проникновение после завершения мероприятий по устранению выявленных уязвимостей, чтобы убедиться в их устранении.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018