В настоящее время большая часть бизнес-процессов переведена в интернет-пространство, что удобно, однако предполагает повышенные риски информационной безопасности. За 2022 год десятикратно выросло число кибератак на компании из различных сфер.
Директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин отметил, что важной составляющей аудита безопасности является пентест, нацеленный на обнаружение недостатков в организации безопасности заказчика и нахождение наиболее слабых компонентов инфраструктуры.
В общем понимании, пентест — это комплекс мер, которые имитируют реальную кибератаку или действия злоумышленника, целью которых является получение доступа к информации или к управлению информсистемами. Пентест может быть внутренним и внешним. Первый вариант предполагает работу с внутренней инфраструктурой заказчика: анализ внутренних сервисов, корпоративной сети и выявление существующих недостатков. Например, отсутствие обновлений или неправильное архитектурное решение. Во втором варианте тестовой кибератаке подвергается внешний контур инфраструктуры.
Пентесты также делятся на три типа, определяющие подход к тестированию: “черный”, “серый” и “белый” ящики. Эти варианты отличаются количеством первоначальных данных, которые пентестеры получают для оценки безопасности.
По словам Мурада Мустафаева, руководителя службы информационной безопасности компании “Онланта”, в настоящее время пентесты особенно востребованы среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. В большинстве случаев для проверки защищенности своих информационных систем госструктуры выбирают вариант “серого ящика”: поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт утверждает, что около 85% взломов связаны с человеческим фактором, а именно, с плохой осведомленностью сотрудников о правилах информационной безопасности. В связи с этим, обучение сотрудников организации основам социальной инженерии становится крайне необходимым.
Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов говорит об еще одной проблеме — веб-уязвимостях, проистекающих из недостаточного развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Так, при запуске в общий доступ или обновлении продукта специалисты не проводят его аудит, оставляя, таким образом, вероятность утечек исходных кодов и сохраненных паролей.
Помимо этого, Илья Завьялов обратил внимание на такой способ проникновения во внутреннюю инфраструктуру компании, как инсайдерские угрозы. Так, крупные компании часто пользуются услугами сторонних организаций для выполнения ряда задач: установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ― добавил эксперт.
Согласно данным “Информзащиты”, у российских компаний появление уязвимостей объясняется отсутствием процессов обеспечения безопасности внутренней инфраструктуры. К таким процессам относится управление уязвимостями (Vulnerability Management), рассчитанное на регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов.
Также среди уязвимостей эксперт выделяет возможность удаленного выполнения кода за счет сервиса SMB, которая дает злоумышленнику доступ к первой учетной записи и позволяет через нее осуществить кибератаку.
Сейчас большинство пентестов проводится в ручном режиме, однако частым становится запрос на внедрение систем непрерывного мониторинга и запуска пентестов, автоматизирующих процесс тестирования. Причину востребованности подобных систем Николай Фокин видит в увеличении количества кибератак, а также в постоянном изменении и усложнении инфраструктуры в условиях дефицита кадров.
На сегодняшний день наиболее распространены системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Их основное преимущество заключается в способности создавать имитацию взломов и атак одновременно по множеству направлений. Одно из решений данной области — платформа автоматизированного тестирования на проникновение PenTera, использующая технологии искусственного интеллекта для моделирования мышления и поведения хакера. Системы автоматизации пентеста дают возможность повышать скорость охвата инфраструктуры, а также избегать ошибок, связанных с человеческим фактором.
У компании “ЛАНИТ-Интеграция” есть успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.