На сегодняшний день практически все бизнес-процессы переведены в интернет-пространство, из-за чего резко возрастают риски информационной безопасности. Так, только за 2022 год число кибератак на компании из разных отраслей увеличилось в 10 раз.
По словам директора Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николая Фокина, важной составляющей аудита безопасности является пентест, в процессе которого появляется возможность обнаружить недостатки в организации безопасности заказчика и понять, какие компоненты системы нуждаются в защите.
В широком понимании, пентест – это имитация кибератаки или действий злоумышленника, нацеленных на получение доступа к информации или к управлению информсистемами. Пентесты разделяются на два типа: внутренние и внешние. В первом случае компания-исполнитель работает в инфраструктуре заказчика, анализируя корпоративную сеть и внутренние сервисы с целью нахождения слабых мест. Во втором случае проводится анализ уязвимостей внешней инфраструктуры и совершаются попытки получения доступа к внутренним данным.
Согласно еще одной категоризации, пентесты делятся на три типа: “черный”, “серый” и “белый” ящики. Каждый сценарий предполагает работу пентестеров с разным объемом первоначальных данных.
Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” отметил, что сегодня пентесты пользуются большой популярностью среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Чаще всего проверка защищенности информационных систем госструктур происходит в подходе “серый ящик”, включающем в себя поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт добавил, что примерно 85% взломов связаны с недостаточной осведомленностью сотрудников о правилах информационной безопасности. В связи с этим, первоочередной задачей становится обучение сотрудников организации основам социальной инженерии.
Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов выделил еще одну важную проблему – веб-уязвимости. По его мнению, веб-уязвимости являются следствием низкого уровня развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Отмечаются случаи, когда при запуске в общий доступ или обновлении продукта специалисты не проводят его аудит, повышая, таким образом, вероятность утечек исходных кодов и сохраненных паролей.
Инсайдерские угрозы, заявил эксперт, еще один из векторов проникновения во внутреннюю инфраструктуру крупной компании, которая часто обращается к услугам сторонних организаций для установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ― рассказал Илья Завьялов.
Кроме того, данные “Информзащиты” показывают, что крупные отечественные компании мало внимания уделяют обеспечению безопасности внутренней инфраструктуры, в которой на протяжении долгого времени могут присутствовать различные недостатки. “Забыли про какой-то сервер, про рабочую станцию давно уволившегося пользователя, про его учетную запись”, – уточнил Илья Завьялов.
Также частые причины уязвимостей – возможность удаленного выполнения кода за счет сервиса SMB и слабая парольная политика. “Камеры и принтеры часто не контролируются сотрудниками ИБ. На самом деле злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку”, ―объяснил специалист “Информзащиты”.
Сегодня большинство пентестов проводится в ручном режиме, однако у многих компаний формируется запрос на автоматизацию процесса тестирования – внедрение систем непрерывного мониторинга и запуска пентестов. Николай Фокин убежден, что причиной этого служит рост количества кибератак, а также постоянное изменение и усложнение инфраструктуры при нехватке квалифицированных специалистов.
На сегодняшний день системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS) считаются самыми популярными. Они способны создавать имитацию взломов и атак одновременно по множеству направлений. Одно из таких решений – платформа автоматизированного тестирования на проникновение – PenTera. Она основана на технологиях искусственного интеллекта и может моделировать мышление и поведение хакера. По словам Николая Фокина, несмотря на то, что создание полноценного аналога потенциального взломщика пока невозможно, машинные алгоритмы платформ позволяют автоматизированно эмулировать техники и тактики, которые используют хакеры в реальности, что увеличивает скорость охвата инфраструктуры, а также сводит к минимуму ошибки, связанные с человеческим фактором.
Компания “ЛАНИТ-Интеграция” реализовала успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, включая системы IoT.
