Когда пентест (penetration test) эффективен — СКБ Контур

Тестирование на проникновение. Эффективность vs популярность

15 марта 2018 Мнение

Тестирование на проникновение становится все более востребованным при определении рисков информационной безопасности. Новости об успешных взломах сайтов и утечках важных данных подстегивают бизнесменов оценивать вероятность взлома их критичных систем. Когда тест на проникновение действительно может быть полезен, а в каких случаях окажется пустой тратой денег?

Что такое тестирование на проникновение?

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) представляет собой имитацию действий злоумышленника с информационной системой (сетью, оборудованием и т.д.) с целью демонстрации уязвимостей и оценки эффективности применяемых мер по защите информации (технических, организационных и др.).

Проведение тестирования на проникновение позволяет:

  • узнать вероятность осуществления угроз безопасности информации;
  • оценить возможные последствия направленной хакерской атаки;
  • определить уязвимости в защите информационной системы;
  • оценить эффективность средств защиты информации;
  • оценить эффективность менеджмента информационной безопасности;
  • оценить вероятный уровень квалификации нарушителя для успешной реализации атаки;
  • получить аргументы для обоснования дальнейшего вложения ресурсов в информационную безопасность (ИБ);
  • выработать список контрмер, позволяющих снизить возможность реализации атак.

Проведение тестирования на проникновение является трудоемкой задачей, требования к компетенции специалистов очень высоки. Пентестер должен уметь использовать огромное число техник, понимать все нюансы технической и организационной составляющей ИБ, применять творческий подход, обладать навыками социальной инженерии (в настоящее время большое число пентестов представляют собой не только технический взлом!). Это делает пентест довольно дорогой услугой, поэтому его нужно проводить только тогда, когда он действительно необходим и эффективен для организации.

security

Проверьте, насколько эффективна защита информации в вашей компании, и получите рекомендации от специалистов Контур.Безопасности

Когда тестирование на проникновение эффективно? Опыт мировых практик

Лучшие мировые практики давно определили место пентеста в системе приоритетов информационной безопасности.

В отчете, опубликованном SANS Institute (занимаются исследованием вопросов в области ИБ), представлен топ-20 критических мер по защите информации. Они классифицированы в зависимости от приоритетности: в первую очередь рекомендуется реализовывать меру № 1, меры ближе к № 20 — после реализации предыдущих. Упор на приоритеты сделан не случайно, так как это позволяет сначала внедрять меры, которые снижают последствия наиболее опасных рисков. Тестирование на проникновение, согласно документу, стоит под последним, двадцатым номером. Это означает, что пентесты являются важной составляющей ИБ, однако менее приоритетной, чем, например, защита от вредоносных программ (№ 5) или организация резервирования данных (№ 8).

Международный стандарт NIST 800-53 представляет собой описание мер по защите информации и рекомендаций, в каких случаях и каким образом ими пользоваться. Меры также классифицированы по приоритетности (P1–P3, P1 наиболее приоритетная). Согласно NIST 800-53, тестирование на проникновение (код CA-8) имеет приоритет P2, то есть эффективнее сначала реализовать меры с приоритетом P1 (например, учет компонентов информационных систем, управление идентификацией/аутентификацией пользователей, реагирование на инциденты). Более того, стандарт предлагает различный набор мер по защите в зависимости от критичности информационного ресурса. Тест на проникновение рекомендуется в первую очередь для информационных систем, обладающих высокой критичностью (самой ценной информацией). Это вполне логично, так как, во-первых, для критичных систем нужно максимально снизить риск реализации любых угроз, а во-вторых, пентест — дорогостоящая услуга, и финансовые вложения должны быть оправданы.

В стандарте ГОСТ 27001 (ISO/IEC 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. В отличие от ранее рассмотренных стандартов, ГОСТ 27001 (ISO 27001) не выделяет тестирование на проникновение в качестве отдельной меры, рассматривая более общее понятие «управление техническими уязвимостями». Стандарт указывает, что «необходимо получать своевременную информацию о технических уязвимостях, используемых информационных системах, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска». Тестирование на проникновение не может решить все задачи, продиктованные стандартом в рамках управления техническими уязвимостями. Однако в контексте ГОСТ 27001 (ISO 27001) тестирование на проникновение может быть полезно как:

  • этап оценки рисков (оценка возможности и последствий осуществления некоторых угроз);
  • разработка мер для снижения уровня риска осуществления угроз;
  • процесс непрерывного улучшения качества управления ИБ (постоянная оценка эффективности существующих защитных мер).

Когда не стоит тратить деньги на тестирование на проникновение

Результаты пентеста могут быть использованы в разных целях. В частности, как метод обоснования затрат на мероприятия по информационной безопасности. Однако основная цель данной услуги — это оценка эффективности существующих механизмов защиты и демонстрация последствий целенаправленной хакерской атаки.

Если эффективность измерять соотношением полезности полученных результатов к затраченным ресурсам, когда можно считать, что деньги на пентест потрачены зря?

1. Если защитные меры в компании вообще не реализуются или реализуются минимально.

При отсутствии защитных механизмов основная польза тестирования на проникновение теряется: оценивать нечего. В данной ситуации выгоднее будет определить актуальные угрозы безопасности, используя приведенные выше международные стандарты. В данном случае следует провести аудит информационной системы для оценки ее текущего состояния и получения рекомендаций по ее модернизации.

2. Когда тестирование на проникновение воспринимают как чисто техническую задачу (проверки сервисов на прочность), не рассматривая стратегию ИБ в целом.

При подобном подходе риски осуществления угроз не оценены, и руководству сложно понять, является ли стоимость проведения пентеста выше, чем его предполагаемая ценность.

Кроме того, может возникнуть проблема двойной траты денег. Это случается, когда ИТ-специалисты внедряют какие-то меры защиты (например, управление доступом, фильтрацию сетевого трафика, антивирусную защиту и т.д.), руководствуясь исключительно собственными знаниями о настройках оборудования и целью обеспечить работоспособность сервиса, а не принятыми мировыми практиками в области информационной безопасности. В итоге система защиты выстроена случайным образом. Опытный специалист легко воспользуется отсутствием каких-либо защитных мер и осуществит взлом. На принятие компенсирующих защитных мер будет потрачено время, потребуется повторное тестирование на проникновение (проблема — двойная трата денег). Следует добавить, что часто внедрение таких компенсирующих мер в разы ниже стоимости проведения пентеста.

В данной ситуации эффективнее будет провести небольшой аудит при помощи специалиста в области ИБ, который проверит адекватность принятых защитных мер, их соответствие принятым стандартам безопасности, сообщит о последствиях осуществления угроз, даст рекомендации по устранению недостатков и расскажет о процессном подходе в ИБ.

Заключение

Итак, проведение тестирования на проникновение является максимально эффективным, если в компании функционируют критичные сервисы, изучены и реализованы на практике рекомендуемые международными стандартами меры, применяется процессный подход в ИБ (пройдено несколько циклов PDCA). В этом случае пентест может дать возможность получить ценную узкоспециализированную информацию, которую невозможно получить из стандартных источников, определить дальнейший вектор развития ИБ, оценить качество применяемых защитных мер и вскрыть специфичные пробелы в них (которые невозможно обнаружить обычным автоматическим сканером уязвимостей). Оценка рисков информационной безопасности, которая обязательно должна быть проведена согласно международным практикам, поможет определить предполагаемую ценность результатов тестирования и таким образом обосновать затраты.

Безопасность
Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.
Узнать больше
Безопасность
Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.
Узнать больше
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
Написать комментарий