Пентест как метод обоснования мероприятий по информационной безопасности

Именно в кризисных ситуациях обостряются конкурентные войны, применяются жесткие методы, направленные на дестабилизацию деятельности компаний-конкурентов.  Противодействовать этим угрозам можно лишь выстроив четкую и эффективную систему информационной безопасности.

Как же разрешить противоречие между сокращением финансирования ИБ-мероприятий и возрастающим числом угроз информационной безопасности?

Остановимся на нестандартном применении услуги пентеста для обоснования бюджета ИБ-подразделения перед руководством одной из компаний-клиентов.

Дано: компания занимается оказанием услуг в нескольких регионах РФ, штат — несколько сотен сотрудников.

В компании существует ИТ-подразделение, которое получает достаточное финансирование, полностью укомплектовано людьми. Также есть подразделение информационной безопасности, состоящее из двух сотрудников. Задач по ИБ настолько много, что силами двух людей проблематично их решить в разумные сроки. Кроме того, финансирование покупки ПО и оборудования, связанного с ИБ, оставляет желать лучшего.

Что делаем: выясняем, что директор не выделяет дополнительные ставки для ИБ-отдела и скромно финансирует закупку ПО и оборудования, связанного с ИБ, потому что не понимает, зачем нужно сейчас вкладываться в обеспечение информационной безопасности компании.

Предлагаем: наглядно показать руководству компании, к чему может привести практика недофинансирования мероприятий по информационной безопасности.

Решение: метод penetration test (pentest/пентест).

Как правило, тест на проникновение проводится после того, как система информационной безопасности построена, чтобы удостовериться в ее устойчивости. В любой другой ситуации логичнее было бы провести сначала аудит, выстроить систему и лишь затем проводить пентест. Однако, как мы помним, руководство не готово серьезно финансировать мероприятия, связанные с информационной безопасностью. Поэтому решено было использовать пентест как «красную тряпку».

Нами был выбран вариант пентеста по методу белого ящика, когда тестировщикам предоставляются все возможные данные об информационной системе компании. В данном случае задачами пентеста было:

• выявить возможность похитить информацию из сети компании;
• найти источники, которые могли бы дестабилизировать деятельность компании.

Результат пентеста. Тестирование на проникновение показало, что периметр сети компании защищен, угрозу могут представлять лишь таргетированные атаки.

Если же получить права доступа в сеть с уровнем хотя бы рядового сотрудника, то изнутри сети можно похитить практически любую ценную для компании информацию. Был выявлен целый ряд уязвимостей. В качестве примера приведем одну из самых серьезных.

Среди приоритетных задач компании — сохранение клиентской базы. При беглом взгляде создавалось впечатление, что похитить эти данные можно лишь используя камеру мобильного телефона при просмотре самой базы на мониторе компьютера.

Однако имитация действий продвинутого пользователя позволила доказать, что доступ к данным изнутри сети возможен. Достаточно скачать сканер уязвимости в любом открытом источнике и в качестве исследуемого объекта выбрать сервер, на котором хранится вся база клиентов. Сканер сам подсказал пользователю, как нажатием кнопки выполнить SQL-инъекцию, чтобы получить доступ к базе с правами администратора. Данной уязвимостью могли  воспользоваться инсайдеры, что повлекло бы значительный ущерб для бизнеса.

К сожалению, подобная картина характерна для многих российских компаний.

Причиной такой ситуации чаще всего становится конфликт подразделений. ИБ-подразделение создается по инициативе руководителя компании, но структурно подчиняется ИТ. В итоге ИТ-подразделение воспринимает сотрудников ИБ-отдела как бумагомарателей, которые создают непонятные и ненужные регламенты. Представители ИБ воспринимают сотрудников ИТ-служб как подразделение, которое выполняет задачи по автоматизации бизнес-процессов, но никак не задумывается о безопасности. В результате службы, которые должны работать на одну задачу, мешают работе друг друга.

Как были использованы результаты пентеста

Результаты пентеста с описанием возможных последствий реализации уязвимостей были представлены руководству. После изучения материалов руководство компании приняло следующие решения:

• изменить штатную структуру:  теперь ИБ-подразделение напрямую подчиняется руководителю компании;
• делегировать часть задач из области ИБ на ИТ-подразделение, таким образом вся деятельность в области ИТ должна согласовываться с отделом информационной безопасности;
• выделить дополнительную ставку специалиста ИБ;
• пересмотреть финансирование  ИТ- и ИБ-подразделений.

Вадим Галлямшин, руководитель проектов по защите информации «Контур-Безопасность» (компания «СКБ Контур»)