Сегодня мы беседуем со специалистом по компьютерным уязвимостям Николаем Романовичем.
В современном мире существенно возросли риски, связанные с атаками на информационные системы.
Компании и госструктуры все чаще сталкиваются с утечками данных и таргетированными атаками со стороны продвинутых группировок.
Необходимость аудирования собственных систем становится все более актуальной задачей, но компаниям не всегда понятно какую именно услугу стоит покупать в их случае.
- Николай, как можно минимизировать эти риски? Какие есть услуги по аудиту безопасности? В чем их разница?
На сегодняшний день есть много компаний, которые оказывают разные услуги в области информационной безопасности.
У каждой компании может быть своя устоявшаяся терминология. Где-то эти термины могут немного расходиться. К примеру, кто-то может включить аудит приложений в пентест, что не совсем корректно.
Некоторые намеренно продают услуги под неправильным названием. К примеру, пытаются всучить автоматическое сканирование уязвимостей под видом пентеста (и за цену пентеста). Это, на мой взгляд, уже является мошенничеством, потому что некоторые компании действительно могут купиться и оплатить такую услугу, а потом считать, что они защищены, так как «пентест» не выявил уязвимостей.
Часто выделяют три основных направления – пентест, аудит приложения, редтиминг.
Однако, я рассмотрю вопрос более широко и попробую охватить больше разных услуг:
- Пентест
- Аудит
- Редтиминг
- Автоматическое сканирование
- Проверка на соответствие стандартам
- BugBounty
Пентест – модное слово. Его часто используют не по назначению и имеют ввиду другие услуги. Пентест (от англ. Penetration testing) переводится как тестирование на проникновение. Само название уже говорит за себя.
Цель исполнителя пентеста – проникнуть внутрь компании и достигнуть определенных целей. Цели обговариваются с заказчиком заранее.
К примеру, банк может определить цель пентеста своих систем как возможность атакующего выводить деньги с основных счетов банка. Если атакующий смог успешно проникнуть в банк и сформировать транзакцию на вывод денег, то пентест пройден.
Либо целью пентеста может быть получение доступа к некой машине в сети компании с правами администратора. Здесь важно, что исполнителю не нужно искать все уязвимости и прорабатывать множество векторов атаки. Самое главное – проникнуть в компанию, добиться цели. При этом исполнитель логично будет пытаться проникнуть через самый простой для него путь. К примеру, можно попробовать отправить вредоносный файл на почту администратора. Если администратор скачает файл и запустит его, то пентест уже успешен и можно завершать работы.
То есть в пентесте не нужно искать множество уязвимостей и все их документировать. Главное – проникнуть в компанию и достичь обговоренной цели.
Рамки допустимых действий обговариваются в контракте. К примеру, иногда в услугу включается даже физический пентест, когда исполнитель может попробовать физически проникнуть на объект заказчика и запустить на компьютере программу удаленного доступа, а потом продолжать атаку уже удаленно.
Аудит – это другая услуга. Здесь наоборот нужно найти как можно больше уязвимостей, все их задокументировать и дать рекомендации по исправлению.
Можно сказать, что пентест проводится вглубь, потому что достаточно найти один вектор и провести через него успешную атаку, а аудит вширь, потому что важно не столько провести атаку, сколько найти как можно больше уязвимостей.
Как правило, проводится аудит конкретных систем – например вебсайта или android приложения, потому что качественный аудит требует от исполнителя детального ручного изучения и анализа, а изучать все внешние сайты и приложения компании может быть слишком затратным занятием.
Редтиминг (Red teaming)– более сложная штука, которая актуальна большим компаниям со своей командой безопасников.
Суть редтиминга – проверить насколько компания может противостоять внешней угрозе продвинутых атакующих.
Команда атакующих (красная команда) постоянно пытается проникнуть внутрь компании, достигнуть некой цели, а команда безопасников внутри заказчика (синяя команда) мониторит происходящее, пытается помешать атакующим проникнуть в сеть компании и достичь недопустимого события (например, получения доступа администратора).
Редтиминг может длиться очень долго, даже полгода, потому что в реальной жизни атакующие группировки тоже могут долго готовиться, писать собственные инструменты, аккуратно исследовать периметр жертвы и т.д.
После работ сверяются отчеты красной и синей команды, чтобы понять насколько хорошо защищались синие. К примеру, по таким отчетам можно определить, что синие успешно заметили эксплуатацию уязвимости на сайте компании и отразили атаку, но не смогли заметить фишинговое письмо бухгалтеру, а тот перешел по ссылке и ввел где-то свой пароль, что привело к компрометации учетной записи бухгалтера.
Иногда исполнитель в рамках редтиминга симулирует атаку конкретной известной группировки.
Автоматическое сканирование – более легкая и дешевая услуга. Здесь не требуется детальный ручной анализ от специалиста. Достаточно запустить сканеры на обговоренные системы заказчика, чтобы определить наличие уязвимостей.
Таким образом можно обнаружить известные уязвимости. Когда появляется новая уязвимость в известной программе, то злоумышленники сразу начинают сканировать весь интернет, чтобы найти где используется эта программа. Если кто-то еще не успел обновиться и закрыть уязвимость, то злоумышленники могут вычислить его таким массовым сканом и продолжить уже более продуманную и таргетированную атаку.
Автоматическое сканирование намного проще и быстрее полноценного аудита. Можно автоматически запускать такие сканы раз в неделю или месяц для проверки периметра компании.
Проверка на соответствие стандартам – это (очевидно из названия) проверка насколько система компании соответствует некоему стандарту.
Данная услуга больше популярна на западе, потому что там жестче относятся к защите персональных данных и штрафы за утечки данных пользователей намного больше.
К примеру, если компания сохраняет у себя информацию о банковских картах клиентов, то такие данные необходимо защищать согласно определенным правилам – шифровать при передаче, безопасно хранить и т.д. Для полноценного выхода на рынок и поднятия доверия к себе компании необходимо успешно пройти такую проверку.
Также есть отдельные услуги, которые помогают компании изменить собственные архитектуру приложений и алгоритмы, чтобы начать соответствовать этим стандартам.
BugBounty – это отдельная тема, потому что не является полноценной услугой, которая может оказываться какой-либо компанией. Это программа или разрешение, в котором компания разрешает внешним специалистам искать уязвимости на указанных системах компании.
Если кто-то найдет уязвимость в одной из указанных систем, то он может отправить информацию об уязвимости компании и получить денежное вознаграждение.
Как правило, такие программы проходят через общеизвестные платформы. Самая известная – hackerone.com.
Здесь важно, что компания сама определяет какие системы можно таким образом тестировать, какие уязвимости можно искать и какое будет вознаграждение за них. В больших компаниях выплаты могут превышать сотни тысяч долларов за критические уязвимости.
- Как понять какую услугу взять компании для повышения своего уровня безопасности?
Это зависит от того, что собственно нужно компании. Хорошим решением будет обратиться в известную фирму по оказанию услуг аудита/пентеста/редтиминга и обговорить, что именно хочется проверить и какие результаты получить.
Для небольших компаний больше подходит аудит конкретного приложения или простой скан уязвимостей.
Пентест и редтиминг уже обычно заказывают большие компании, которые имеют выстроенную систему защиты и хотят её проверить или улучшить.
BugBounty обычно используется средними и большими компаниями с большим количеством сайтов и приложений, когда сложно постоянно проводить аудит всех систем, а вот множество внешних специалистов за соответствующую плату могут постоянно искать уязвимости в приложениях компании.
- Николай, спасибо за полезную информацию.
А нашим читателям рекомендуем обращаться к Николаю за проведением аудита приложений или выбора варианта проверки с привлечением компаний, которые оказывают услуги в области ИБ.
Интервью провел Роман Микрюков
Ссылка на Клуб Экспертов: https://toFindExperts.ru