Тест на проникновение

Автор: Василий Задворный, руководитель отдела IT консалтинга компании "Инком"

Параллельно с увеличением удельного веса IT в бизнесе бурно растет количество инструментов и технологий для несанкционированного доступа к информационным ресурсам. Растет риск потерять важные для компании данные, что может подорвать ее имидж и репутацию на рынке. Поэтому эффективная защита информационных систем любой компании становится первостепенной задачей для бизнеса.

Сотни и тысячи "взломов" веб сайтов, серверов, приложений, баз данных ежедневно, регулярно курсирующая информация о незаконном проникновении в корпоративные сети крупных компаний, "гуляющие" по Сети базы данных - все это наглядно подтверждает необходимость построения надежной системы информационной безопасности (ИБ). Особенно актуальна проблема в случае, когда внешние, общедоступные, информационные ресурсы компании, взаимодействуют напрямую с ее внутренними корпоративными ресурсами.

Комплексный подход к обеспечению безопасности ИС компании любого размера и направления деятельности обычно включает в себя проектирование систем безопасности, разработку политики информационной безопасности для обеспечения защиты от "инсайдеров", а также проведение "теста на проникновение" (penetration test) для проверки степени защищенности информационных ресурсов извне.

"Тест на проникновение" помогает на практике получить объективную и независимую оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта компании, каким способом и по средством каких уязвимостей. На практике, "тест на проникновение" - это моделирование действий злоумышленников по проникновению в информационную систему в условиях, максимально приближенных к тем, которые возникают при атаке хакеров. При этом моделироваться могут как внешние, так и внутренние нарушители.

Кому и зачем нужен "тест на проникновение"?

Необходимость проведения "теста на проникновение" обусловлена, в первую очередь, потребностью предоставить руководству компании, менеджменту достоверную информацию о реальном состоянии ИБ. Нередко управленцы пребывают в состоянии иллюзорной защищенности и уверены, что вложенные в программные продукты средства сами по себе делают информационную систему устойчивой к хакерским атакам. Результатами подобных иллюзий могут стать как прямые финансовые убытки от потери конфиденциальных корпоративных данных, так и утрата имиджа при, например, размещении на взломанном сайте неправдивой информации. А это может привести к нивелированию наработанных конкурентных преимуществ и другим негативным для бизнеса последствиям. Например, простой системы Интернет банкинга или Интернет магазина может вызвать отток клиентов.

С другой стороны, "тест на проникновение" обнажает слабые места системы ИБ компании. Его результаты станут фундаментом для создания процедур управления ИБ и создания эффективной системы управления ИБ.

Незащищенность корпоративной сети или веб сайта компании обычно обусловлена целым рядом факторов и заблуждений, среди которых:

• отсутствие у менеджмента объективной, достоверной информации о состоянии системы ИБ;
• непонимание менеджментом величины ущерба, к которому может принести успешная атака на ИС;
• отсутствие или нехватка квалифицированного IT персонала;
• отсутствие разработанных политик ИБ;
• отсутствие или недостатки применяемой системы ИБ.

Проведение "тестов на проникновение" выявит эти факторы и заблуждения и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании, станет первым шагом к построению надежной многоступенчатой системы защиты.

Цели

Основная цель теста на проникновение - имитируя действия хакера, осуществить атаку из внешнего ресурса сети Интернет на корпоративную сеть по внешнему периметру IP адресов, сайт компании, сервер приложений или баз данных, для обнаружения потенциально опасных мест системы с точки зрения ИБ.

Режим тестирования выбирается на основе уровня первоначальных знаний консультантов о тестируемой системе (Black Box* или White Box*) и уровня информированности заказчика об испытаниях (режим Black Hat** или White Hat**). Длительность типичного проекта тестирования в среднем 25-30 дней.

В результате проведения теста на проникновение консультантами внешнего, незаинтересованного подрядчика определяется оценка защищенности IT системы, составляются рекомендации, которые помогут поддерживать защиту IT ресурсов в актуальном состоянии, рекомендуется список проектов, которые позволят вывести степень защиты на более высокий уровень. На практике по результатам теста создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.

Полезна ли "таблетка"?

Очевидно, что польза от проведения "теста на проникновение" двойная: 1) для менеджмента компании и 2) бизнеса в целом, а также для обеспечения продуктивной, измеряемой работы службы информационной безопасности. В первую очередь, "таблетка" будет полезна менеджменту компании, поскольку предоставляет независимую объективную оценку степени защищенности компании от внешних угроз. Во-вторых, тест наглядно продемонстрирует эффективность вкладываемых в ИБ средств, и позволит разумно распределять финансовые и человеческие ресурсы на обеспечение информационной безопасности в дальнейшем. Данная процедура также может быть частью выполнения регулятивных требований, к примеру, стандарта PCI DSS***, обязательного для предприятий, которые обрабатывают, передают либо хранят данные кредитных карт. С другой стороны, проведение теста на проникновение позволит директору службы информационной безопасности:

• повысить степень защиты информационной системы благодаря после дующему внедрению рекомендаций консультантов по усовершенствованию системы безопасности компании;
• снизить риски, связанные с использованием IT и электронной коммерции, за счет своевременного определения уязвимых мест в защите и их устранения;
• получить базис для обоснования расходов на службу IT и информационной безопасности;
• совершенствовать и выстраивать процессы системы управления информационной безопасности (СУИБ).

Вместо заключения

Тест на проникновение может быть проведен один раз и приведет к качественным изменениям в системе управления информационной безопасностью (СУИБ). Либо станет начальным этапом полного аудита безопасности ИС.

На основании такого аудита возможна разработка либо дополнение политик информационной безопасности, внедрение недостающих процедур СУИБ, и дальнейшее развитие систем защиты информационных активов компании в целом. В каждом из перечисленных случаев полезно помнить, что проведение "тестов на проникновение" это первый шаг к надежной защите Интернет ресурсов компании от взлома и гарантия безопасности информационных ресурсов.

* Black box (англ. "Черный ящик") - исследуемый объект, внутренняя структура которого неизвестна, но о функциях которого можно судить по его реакциям на внешние воздействия. В отличие от "Черного ящика" "Белый ящик" это объект, внутренняя структура которого полностью известна.

** Black Hat, White Hat (англ. Черная шляпа, Белая шляпа) - так называют себя хакеры. "Черный хакер" это тот, который осуществляет злоумышленные атаки на сети, старясь причинить как можно больше вреда. "Белый хакер" (white hat), наоборот, помогает выявить уязвимость систем. Терминология происходит из вестернов, где в черных шляпах традиционно бывают "плохие парни", а герой носит белую шляпу.

*** PCI DSS (Payment Card Industry Data Security Standard) - набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.

Источник: ITBel