В современном мире большинство бизнес-процессов протекают в интернет-пространстве, что ведет за собой повышенные риски информационной безопасности. Только за 2022 год число кибератак на компании из различных сфер выросло десятикратно.
Николай Фокин, директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” отметил необходимость проведения аудита безопасности, важной частью которого является пентест – услуга, дающая возможность вскрыть недостатки в организации безопасности заказчика и выделить те компоненты инфраструктуры, которые нужно защищать в первую очередь.
Пентест – это процесс моделирования реальной кибератаки или набора действий злоумышленника, который стремится получить доступ к информации или к управлению информсистемами. Пентест может быть внутренним и внешним. Первый тип предполагает тестирование внутренней инфраструктуры заказчика. К примеру, анализ внутренних сервисов, корпоративной сети и определение недостатков. При проведении внешнего пентеста удар по инфраструктуре заказчика наносится снаружи.
Кроме того, существуют три сценария проведения пентеста: “черный”, “серый” и “белый” ящики. Они различаются объемом данных, которые компания предоставляет пентестерам для оценки безопасности.
Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” подчеркнул, что сегодня пентесты особенно востребованы среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Зачастую для проверки защищенности своих информационных систем госструктуры предпочитают сценарий “серого ящика”. Ключевыми задачами являются поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Так, по словам эксперта, около 85% взломов связаны с недостаточной осведомленностью сотрудников о политике информационной безопасности. “И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ? сообщил Мурад Мустафаев.
Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов рассказал об еще одной проблеме – веб-уязвимостях, причиной которых стал низкий уровень развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Так, запуск в общий доступ или обновление продукта не всегда сопровождаются его аудитом, что повышает вероятность утечек исходных кодов и сохраненных паролей.
Помимо этого, Илья Завьялов обратил внимание на такой вектор проникновения во внутреннюю инфраструктуру компании, как инсайдерские угрозы. Крупные компании, заметил он, часто прибегают к услугами сторонних организаций для установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ? добавил эксперт.
Согласно данным “Информзащиты”, появление уязвимостей в информационных системах российских компаний тесно связано с отсутствием процессов обеспечения безопасности внутренней инфраструктуры. В число таких процессов входит управление уязвимостями (Vulnerability Management), которое обеспечивает регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов.
Еще одной уязвимостью Илья Завьялов считает возможность удаленного выполнения кода за счет сервиса SMB, дающая хакеру доступ к первой учетной записи и позволяющая через нее реализовать кибератаку.
В данный момент большинство пентестов проводится в ручном режиме, однако все более востребованным становится внедрение систем непрерывного мониторинга и запуска пентестов для автоматизации процесса тестирования. Причину возникновения этого тренда Николай Фокин видит в увеличении количества кибератак, а также в непрерывном изменении и усложнении инфраструктуры в условиях нехватки квалифицированных ИТ-специалистов.
На сегодняшний день самыми популярными считаются системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Одно из подобных решений – платформа автоматизированного тестирования на проникновение PenTera, созданная на основе технологий искусственного интеллекта и способная моделировать мышление и поведение хакера. “Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, потому что у человека есть креативное мышление. Но, что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ? всё это система обеспечивает”, ? рассказал Николай Фокин.
У компании “ЛАНИТ-Интеграция” есть успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.
