Penetration test. Эффективность vs популярность

13 марта 2015
Penetration test. Эффективность vs популярность

Когда пентест действительно может быть полезен, а в каких ситуациях игра в хакеров останется просто дорогой забавой?

Пентестинг становится все более востребованным при определении рисков информационной безопасности. Новости об успешных взломах сайтов и утечках важных данных подстегивают бизнесменов оценивать вероятность взлома их критичных систем. Компании, которые представляют услуги в области информационной безопасности, также заинтересованы в проведении пентестов. Это прибыльно и интересно: пентестеры получают возможность реализовать свои лучшие профессиональные навыки и применить творческий подход к делу.

Что такое пентест?

Пентест (тестирование на проникновение) представляет собой имитацию атакующих воздействий злоумышленника на информационную систему (сеть, оборудование и т д.) с целью демонстрации уязвимостей и оценки эффективности применяемых мер по защите информации (технических, организационных и др.).

Проведение пентеста позволяет:

  • узнать возможности осуществления угроз безопасности информации;
  • оценить последствия направленной хакерской атаки;
  • определить уязвимости в защите информационной системы;
  • оценить эффективность средств защиты информации;
  • оценить эффективность менеджмента информационной безопасности;
  • оценить вероятный уровень квалификации нарушителя для успешной реализации атаки;
  • получить аргументы для обоснования дальнейшего вложения ресурсов в информационную безопасность;
  • выработать список контрмер, позволяющих снизить возможность реализации атак.

Проведение пентеста является трудоемкой задачей, требования к компетенции специалистов очень высоки. Пентестер должен обладать навыками использования огромного числа техник, понимать все нюансы технической и организационной составляющей ИБ, применять творческий подход, обладать навыками социальной инженерии (в настоящее время большое число пентестов представляют собой не только технический взлом!). Это делает пентест довольно дорогой услугой, поэтому его нужно проводить только тогда, когда он действительно необходим и эффективен для организации.

Когда пентест эффективен. Опыт мировых практик

Лучшие мировые практики давно определили место пентеста в системе приоритетов информационной безопасности.

В отчете, опубликованном SANS Institute (занимаются исследованием вопросов в области ИБ), перечислен топ-20 критических мер по защите информации. Эти группы классифицированы в зависимости от приоритетности: в первую очередь рекомендуется реализовывать меры начиная с № 1, меры ближе к № 20 — после реализации предыдущих. Упор на приоритеты сделан не случайно, т. к. это позволяет сначала внедрять меры, которые снижают последствия наиболее опасных рисков. Тестирование на проникновение, согласно документу, стоит под последним, двадцатым, номером. Это означает, что пентесты являются важной составляющей ИБ, однако менее приоритетной, чем, например, защита от вредоносных программ (№ 5) или организация резервирования данных (№ 8).

Международный стандарт NIST 800-53 представляет собой описание мер по защите информации и рекомендаций, в каких случаях и каким образом ими пользоваться. Меры также классифицированы по приоритетности (P1 — P3, P1 наиболее приоритетная). Согласно NIST 800-53, тестирование на проникновение (код CA-8) имеет приоритет P2, т. е. эффективнее сначала реализовать меры с приоритетом P1 (например, учет компонентов информационных систем, управление идентификацией/аутентификацией пользователей, реагирование на инциденты). Более того, стандарт предлагает различный набор мер по защите в зависимости от критичности информационного ресурса. Пентест рекомендуется в первую очередь для информационных систем, обладающих высокой критичностью (самой ценной информацией). Это вполне логично, т. к., во-первых, для критичных систем нужно максимально снизить риск реализации любых угроз, а, во-вторых, пентест — дорогостоящая услуга и финансовые вложения должны быть оправданы.

В стандарте ГОСТ 27001 (ISO/IEC 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. В отличие от ранее рассмотренных стандартов, ГОСТ 27001 (ISO 27001) не выделяет пентест в качестве отдельной меры, рассматривая более общее понятие «управление техническими уязвимостями». Стандарт указывает, что «необходимо получать своевременную информацию о технических уязвимостях, используемых информационных системах, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска». Тестирование на проникновение не может решить все задачи, продиктованные стандартом в рамках управления техническими уязвимостями. Однако в контексте ГОСТ 27001 (ISO 27001) пентест может быть полезен как:

  • этап оценки рисков (оценка возможности и последствий осуществления некоторых угроз);
  • разработка мер для снижения уровня риска осуществления угроз;
  • процесс непрерывного улучшения качества управления ИБ (постоянная оценка эффективности существующих защитных мер).

Когда не стоит тратить деньги на пентест

Результаты пентеста могут быть использованы в разных целях. В частности, как метод обоснования затрат на мероприятия по информационной безопасности. Однако основная цель пентестинга — это оценка эффективности существующих механизмов защиты и демонстрация последствий целенаправленной хакерской атаки.

Когда можно считать, что деньги на пентест потрачены зря?

(Эффективность в данном случае можно измерить соотношением полезности полученных результатов к затраченным ресурсам.)

1. Если защитные меры в компании вообще не реализуются или реализуются минимально.

При отсутствии защитных механизмов основная польза пентеста теряется: оценивать нечего. В данной ситуации выгоднее будет определить актуальные угрозы безопасности, используя приведенные выше международные стандарты. Верным решением в этом случае будет приглашение внешнего специалиста-консультанта.

2. Когда пентест воспринимают как чисто техническую задачу (проверки сервисов на прочность), не рассматривая стратегию ИБ в целом.

При подобном подходе риски осуществления угроз не оценены и руководству сложно понять, является ли стоимость проведения пентеста выше, чем его предполагаемая ценность.

Кроме того, может возникнуть проблема двойной траты денег. Это случается, когда ИТ-специалисты внедряют какие-то меры защиты (например, управление доступом, фильтрацию сетевого трафика, антивирусную защиту и т д.), руководствуясь исключительно собственными знаниями о настройках оборудования и целью обеспечить работоспособность сервиса, а не принятыми мировыми практиками в области информационной безопасности. В итоге система защиты выстроена случайным образом. Хороший пентестер легко воспользуется отсутствием каких-либо защитных мер и осуществит взлом. На принятие компенсирующих защитных мер будет потрачено время, потребуется повторный пентест (проблема — двойная трата денег). Добавим, что часто внедрение таких компенсирующих мер в разы ниже стоимости проведения пентеста.

В данной ситуации эффективнее будет провести небольшой аудит при помощи специалиста в области ИБ, который проверит адекватность принятых защитных мер, их соответствие принятым стандартам безопасности, сообщит о последствиях осуществления угроз, даст рекомендации по устранению недостатков и расскажет о процессном подходе в ИБ.

Проверьте, насколько реально защищена информация в вашей компании, и получите рекомендации.

Узнать больше

Заключение

Итак, проведение пентеста является максимально эффективным, если в компании функционируют критичные сервисы, изучены и реализованы на практике рекомендуемые международными стандартами меры, применяется процессный подход в ИБ (пройдено несколько циклов PDCA). В этом случае пентест может дать возможность получить ценную узкоспециализированную информацию, которую невозможно получить из стандартных источников, определить дальнейший вектор развития ИБ, оценить качество применяемых защитных мер и вскрыть специфичные пробелы в них (которые невозможно обнаружить обычным автоматическим сканером уязвимостей). Оценка рисков информационной безопасности, которая обязательно должна быть проведена согласно международным практикам, поможет определить предполагаемую ценность результатов пентеста и таким образом обосновать затраты.

Александр Власов, старший инженер отдела внедрения систем защиты информации компании «СКБ Контур»

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
695 просмотров
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше

Комментарии

Комментарии Написать свой
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.