Тестирование на проникновение

Основным результатом проекта является Отчет о тестировании, содержащий описание методики проведения тестирования на проникновение; перечень и описание выявленных уязвимостей и угроз информационной безопасности; свидетельства наличия выявленных уязвимостей и угроз; классификацию выявленных уязвимостей и угроз; описание действий, позволивших выявить и эксплуатировать уязвимости; подробные рекомендации по устранению выявленных уязвимостей и угроз информационной безопасности. В зависимости от целей проекта, Отчет может быть дополнен, например, результатами тестирования бизнес-логики приложений, фишинговых атак и т.п.

Отчет о тестировании позволяет Заказчикам устранить выявленные уязвимости и угрозы информационной безопасности и донести до руководства компании важность обеспечения информационной безопасности.

Также одним из результатов проекта может являться инструктаж по информационной безопасности, проведённый для работников компании.

Перед началом проекта с Заказчиком согласовываются границы работ в соответствии с техническим заданием. Пошаговую реализацию типового проекта можно укрупненно разбить на следующие этапы:

•   Формирование рабочей группы, в которую входят работники Заказчика, отвечающие за эксплуатацию тестируемых систем и их безопасность, а также работники Альтирикс Групп, ответственные за реализацию проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач узкоспециализированным специалистам, оформление итоговой документации и согласование её с Заказчиком.
• Согласование План-графика и методики тестирования.
• Тестирование в ходе которого, Заказчик оперативно информируется о найденных критических уязвимостях.
• Оформление итоговой документации.
• Инструктаж работников Заказчика и презентация результатов работ руководству (при необходимости).

Всё вышеперечисленное является методами анализа информационной инфраструктуры компаний с целью оценки её информационной безопасности, но стоит различать такие методы как тестирование на проникновение, анализ защищенности, киберучения, Red Teaming, т.к. в их основе лежат разные способы достижения основной цели.

При тестировании на проникновение и анализе защищенности делается упор на исследование системы и средств защиты информации. При этом тестировщикам не противостоят подразделения компании, ответственные за обнаружение и предотвращение компьютерных атак. Основной целью данных методов является выявление уязвимостей в системе, которые могут быть использованы злоумышленником. При этом разница между тестированием на проникновение и анализом защищенности заключается в том, что при проведении анализа защищенности в большей степени используются автоматизированные средства обнаружения уязвимостей и их эксплуатации, например, специализированные сканеры и утилиты. При тестировании на проникновении дополнительно выполняется «ручная» обработка найденных уязвимостей. Также при тестировании на проникновение могут быть обнаружены 0-day уязвимости, которые не могут быть обнаружены сканерами, т.к. сканеры оперируют сигнатурами ранее выявленных уязвимостей.

При киберучениях и Red Teaming делается упор на противодействие атакующей (Red Team) и защищающей (Blue Team) команд, обнаружение актуальных векторов атак и компрометацию наиболее критических активов компании. Основной целью данных методов является определение уровня готовности инфраструктуры и внутренних процессов компании в рамках взаимодействия подразделений по обнаружению и предотвращению кибератак. При этом выделяются штабные киберучения, которые предполагают отработку действий команды защиты в формате круглого стола или геймификации без воздействия на реальную инфраструктуру.

Альтирикс Групп придерживается индивидуального подхода к решению каждой поставленной перед нами задачи. Основными критериями, позволяющими определить время проведения работ, являются: вид тестирования на проникновение, объемы работ (кол-во ip-адресов, web-приложений, наличие средств защиты информации, и т.д.). В пакетах услуг, представленных на сайте, указано время выполнения типовых задач. Если ни один пакет услуг Вам не подходит, просим Вас связаться с нами и получить опросный лист на основе которого, мы сможем определить точное время выполнения работ по Вашему проекту.

Конечная стоимость проекта зависит от ряда факторов, таких как: вид тестирования на проникновение, объемы работ (кол-во ip-адресов, web-приложений, наличие средств защиты информации, и т.д.), сложности доступа, необходимости очного посещения объекта и т.п. Также цена проекта зависит от количества видов тестирования на проникновение в одном проекте — в случаях когда Вы заказываете индивидуальный проект (например, внешнее тестирование и социотехническое тестирование), отличающийся по параметрам от пакетов услуг, цена всего проекта уменьшается за счёт параллельного выполнения нескольких задач. При заказе нескольких готовых пакетов услуг, представленных на сайте, общая стоимость не уменьшается, т.к. каждый пакет услуг уже оптимизирован и содержит в себе скидку.

При проведении тестирования на проникновение нельзя дать 100% гарантии, что проводимые тесты не вызовут сбой в работе тестируемой системы, т.к. тесты являются имитациями настоящих компьютерных атак, эксплуатирующих уязвимости системы, но в отличии от настоящих компьютерных атак, устраиваемых злоумышленниками, перед тестировщиками стоит задача минимизации рисков для Заказчика. Для минимизации рисков Альтирикс Групп готова предложить проведение тестирования на проникновение на системах-копиях тестируемой системы или тестирование системы в определенные промежутки времени с наименьшей загруженностью. Также стоит учитывать, что «контролируемая» кибератака позволит Вам с высокой вероятностью избежать какого-либо ущерба и лучше подготовиться к кибератаке, организованной злоумышленниками.

Т.к. тестирование на проникновение несет в себе риски сбоя в функционировании тестируемой системы, для проведения тестирования требуется выбирать промежутки времени с наименьшей пользовательской нагрузкой на систему, учитывая время необходимое для восстановления функционирования системы.

Качественно проведенные работы по тестированию на проникновение должны предоставлять подробную информацию о проведенных этапах работ и их итогах. При этом этапы работ должны соответствовать наилучшим мировым практикам в области информационной безопасности. По итогам работ Альтирикс Групп предоставляет подробный отчет с указанием методики проведения работ, с описанием этапов проведения тестирования и с указанием результатов проведенных тестов. Также одним из показателей качества является привлечение к проекту сертифицированных специалистов в международных системах сертификации по анализу защищенности.

В тех случаях, когда тестируемая система спроектирована и обслуживается с учетом мировых и российских требований по защите информации, возможно отсутствие уязвимостей, которые можно использовать для компьютерной атаки или блокирование её развития на ранней стадии. На практике это 1 случай из 20. При этом Вы всё-равно получаете подробный Отчет о тестировании с описанием всех векторов и причин, почему атака не была успешной. Такой Отчет может стать хорошим подтверждением компетенций подразделения информационной безопасности в компании и достаточности принимаемых мер по кибербезопасности.

Уязвимость по ISO/IEC 27000:2014 — слабость актива или управления, эксплуатация которой приведёт к реализации одной или нескольких угроз.

Уязвимость по ГОСТ Р 56545-2015 — недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

Уязвимость программного обеспечения (cwe.mitre.org) — ошибка в программном обеспечении, способная напрямую быть использована хакером для получения доступа к системе или сети.

Простым примером уязвимости информационной безопасности может служить слабая парольная политика, позволяющая пользователю задавать нестойкие к атакам перебора пароли, например: 1111, user, admin, 1234qwer и т.д.

По версии АНО «Цифровая экономика»: «Ущерб от киберпреступлений растет почти в геометрической прогрессии. Только в 2018 г., по оценкам Internet Crime Compliant Center, он составлял $2,7 млрд, а к 2022 г. – достигнет $8 млрд. Поэтому вопрос защиты данных рисков становится все более актуальным. Кибератаки в первую очередь «бьют» по бизнесу, который несет убытки от длительных простоев в деятельности из-за недоступности или иных сбоев информационных систем, утраты денег с электронных счетов, штрафов в связи с разглашением персональных данных и других проблем.»

По версии РБК: «Средняя сумма убытков одной российской компании от кибератак в 2017 году в России составила 299,9 тыс. руб.; в целом по стране потери бизнеса от таких инцидентов оцениваются в 115,97 млрд руб., подсчитал аналитический центр Национального агентства финансовых исследований (НАФИ) на основании опроса, проведенного в ноябре 2017 года среди 500 руководящих сотрудников предприятий в восьми федеральных округах России».