Пентестинг (тестирование на проникновение) — означает целенаправленные и заранее скоординированные попытки кибератак на ИТ-системы компании: автоматизированные или личные, причем человек-пентестер более эффективен, чем программа. Требуется согласие и знания, так как некоторые методы нападения пентестера являются уголовно наказуемыми по закону. Цель пентестинга — выявить уязвимые места ИТ компании и предоставить конкретные рекомендации по действиям для устранения любых недостатков. Существующие пробелы в системе безопасности устраняются, а уровень безопасности повышается. Помимо таких известных методов, как тестирование «белого ящика», «черного ящика» и «серого ящика», распространенными процедурами также являются аудит с помощью социальной инженерии, Red Team и имитация внутреннего нарушителя. В ходе предварительного обсуждения между экспертами по информационной безопасности, уполномоченными проводить тесты на проникновение, и руководителями проектов вашей компании сначала определяются цель и объект теста на проникновение. Цели могут быть в самых разных направлениях и по этой причине должны быть точно спланированы и сформулированы, определяя не только масштаб, но и границы действий. Методы и инструменты, которые используют для пентестинга, такие же, как и у киберпреступников.
Аудит социальной инженерии
Аудит социальной инженерии подвергает проверке правила поведения сотрудников компании, поскольку хакеры уже давно используют не только вредоносное ПО для проникновения в корпоративные сети. Поэтому социальная инженерия является не только одним из самых эффективных, но и одним из самых опасных методов киберпреступности, поскольку сотрудники являются основным риском безопасности в компаниях. Именно неосведомленность сотрудников о вариантах атак, осуществляемых с помощью фишинга, по телефону или при личном контакте, делает этот метод столь популярным среди киберпреступников.
Аудит социальной инженерии служит двум целям. С одной стороны, проверяется осведомленность сотрудников в вопросах безопасности (и, соответственно, их обучение), с другой стороны, выявляются слабые места, которые используются в контексте анализа для разработки концепции повышения осведомленности в вопросах безопасности. Эксперты по ИТ-безопасности предоставляют точный каталог мер по повышению собственной ИТ-безопасности компании, в том числе и на нетехническом уровне, например, в отношении осведомленности ваших сотрудников в вопросах ИТ-безопасности. Часто имеет смысл объединить имитацию хакера с элементами социальной инженерии, чтобы также проверить соблюдение внутренних инструкций или эффективность мер физической защиты.
Red Team
Red Team— это один из специальных методов атаки, используемых пентестерами, это тактика обеспечения безопасности, которая берет свое начало в соревнованиях. Одна группа пентестеров пытается успешно осуществить кибератаку, а вторая отражает ее. Роль «красной команды» четко определена, она имитирует «злоумышленника», который хочет проникнуть в ИТ-архитектуру. С помощью такого метода можно выявить уязвимые места и определить точки для атаки, которые могут быть использованы хакерами. В основе Red Team лежит очень простая, но в то же время чрезвычайно важная мысль: никто не может знать, насколько безопасны его собственные системы, пока не произойдет реальная атака. И эту атаку осуществляет «красная команда». Так что с точки зрения клиента это настоящая кибератака, но она все еще не нанесет вреда.
Нет никаких ограничений, нет фиксированных целевых систем и нет ограничений на действия.
Симуляция инсайдера
Инсайдерские угрозы являются одной из самых серьезных угроз целостности компаний. Внутренний преступник не обязательно должен быть одним из сотрудников. Внешние поставщики услуг или взломанные внутренние ПК также могут привести к атакам.
Что делает внутренние атаки такими опасными? С одной стороны, малые и средние компании часто считают, что угрозы всегда приходят извне. Соответственно, системы защищены внешне. Внутренняя ИТ-инфраструктура игнорируется, хотя здесь может быть скрыт значительно больший риск. Внутренние сети содержат неэффективные механизмы защиты, недокументированные системы и задания на авторизацию, которые в лучшем случае можно назвать рискованными. Настоящий рай для киберпреступников, которые могут получить контроль над всей ИТ-средой за очень короткое время.
Внутренние нарушители
Внутренних преступников можно разделить на две группы. Есть злоумышленники, которые действуют целенаправленно и сознательно хотят нанести ущерб компании. Другая группа, напротив, не признает себя преступниками, а действует бессознательно и неосторожно. Достаточно поспешно открытого анонимного электронного письма, использования неавторизованного программного обеспечения или загрузки неизвестных вложений, как неосведомленный сотрудник открывает дверь хакеру. Если злоумышленник имеет доступ к системам и сетям, он может спокойно анализировать структуру, обнаружить слабые места и искать способ нанести максимальный ущерб без особых усилий. Злоумышленник затем устанавливает вредоносное ПО и захватывает конфиденциальные данные, конфиденциальную информацию или даже финансовые ресурсы.
Для имитации внутреннего нарушителя специалистам по информационной безопасности предоставляется компьютер с рабочей станцией и стандартный пользовательский доступ. После этого специалисты пытаются проникнуть в другие сферы деятельности компании и максимально расширить свои полномочия. Симуляция внутреннего нарушителя проверяет, когда внутреннему ИТ-отделу становится известно о деятельности «злоумышленника», достаточно ли эффективны существующие процессы безопасности или все ли стандарты, связанные с безопасностью, выполняются всеми сотрудниками. Результаты моделирования внутреннего нарушителя можно затем использовать для выработки стратегических рекомендаций по действиям, которые позволят надежно закрыть обнаруженные уязвимости в будущем.
Сколько стоит тест на проникновение?
Стоимость теста на проникновение всегда зависит от времени, необходимого для его проведения. Следует всегда иметь в виду, что стоимость каждого проекта рассчитывается индивидуально и зависит от усилий, необходимых для подготовки, фактического выполнения тестов и желаемого объема документации после пентеста.
Заключение
Тесты на проникновение подвергают испытанию существующую ИТ-безопасность компании. Человеческий фактор риска все еще слишком часто игнорируется, особенно малыми и средними предприятиями. Будь то атаки социальных инженеров или взлом систем халатными сотрудниками: внутренние злоумышленники в настоящее время представляют собой один из самых больших рисков в области ИТ-безопасности. Пентестинг — это метод, с помощью которого можно обнаружить и устранить утечки внутренней безопасности.