Пентест (penetrationtest, пенетрейшн тест, тестирование на проникновение) – это анализ системы на наличие уязвимостей, метод оценки безопасности информационной системы путем моделирования атаки злоумышленников. «Правильное» тестирование на проникновение показывает, в каком состоянии находятся системы управления информационной безопасностью на практике, и в дальнейшем полученная информация может использоваться для их совершенствования.
Кому нужен пентест?
В России требование проводить тестирование на проникновение закреплено в нескольких положениях Банка России, а именно: 382-П, 683-П и 684-П. Причем последнее оказывает действиена некредитные финансовые организации.
- В соответствии с п. 2.5.5.1 Положения № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение и анализ уязвимостей. информационной безопасности объектов информационной инфраструктуры.
- Согласно п. 3.2 Положению № 683-П ЦБ также требует обеспечить ежегодный пентест и анализ уязвимостей.
- В соответствии п.5.4 Положению № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Пентест дает наиболее полную картину о состоянии системы информационной безопасности, выявляет уязвимости в системе безопасности внешнего и внутреннего периметра сети, дает представление о работе отделов информационной безопасности, позволяет выработать план действий по устранению найденных уязвимостей. Таким образом, тестирование на проникновение – важный элемент обеспечения информационной безопасности банков.
Объекты тестирования на проникновение
Чаще всего в роли объектов исследований выступают: системы управления базами данных, сетевое оборудование, сетевые службы и сервисы (например, электронная почта), средства защиты информации, прикладное программное обеспечение, серверные и пользовательские операционные системы. Главной же особенностью проведения пентеста в банках является то, что основная цель состоит не только в получении доступанад контроллером домена, но также и в получении доступа к платежной системе банка.
Внешний и внутренний пентест
Тестирование на проникновение может быть внешним и внутренним. При проведении внутреннего пентеста проверяется наличие уязвимостей изнутри. Специалист получает физический доступ к сети или рабочему месту, при этом «этичный» хакер может как обладать правами рядового пользователя, так и не обладать ими вообще.
«Иногда даже доступ пользователя не нужен – достаточно просто компьютерной розетки для подключения ноутбука»,— отмечает Евгений Царев (RTM Group).
Внешний пентесттакже немаловажен. Он состоит из трех ключевых этапов: сбор информации, поиск уязвимостей и эксплуатация уязвимостей.
Источниками информации на первом этапе проведения внешнего пентеста, как правило, являются сайты и веб-серверы. Анализируется как информация, находящееся в общем доступе, так и информация, переданная заказчиком. В некоторых случаях анализу так же подвергается конфиденциальная информация, полученная от третьих лиц.
Второй этап – поиск уязвимостей. Для этого применяются специальные программы-сканеры. Наиболее популярные - XSpider, OpenVAS, Nessus, Maxpatrol.
Третий этап, эксплуатация уязвимостей, проводится только с согласия заказчика. Это связано с тем, что пентестеру нельзя допустить причинение ущерба инфраструктуре заказчика.
Особым направлением внешнего пентеста является социальная инженерия. Рассылка зараженных писем является ее наиболее применяемым и популярным видом. Результаты такой рассылки помогают не только понять, насколько эффективно работают антивирусные средства и инструменты мониторинга трафика, но и выявляют, насколько ответственно подходят сотрудники к получению таких писем. Зачастую сами сотрудники банка являются одновременно и важнейшей частью системы защиты, и ее слабейшим элементом. Одно лишь открытие зараженного письма может послужить поводом для внутреннего разбирательства и основанием для обучения сотрудников требованиям информационной безопасности.
Классические уязвимости
«Наиболее распространенными уязвимостями являются не технические бреши, а слабые пароли. Также часто встречаются уязвимости терминальных серверов и применение устаревших операционных систем»,— рассказывает ведущий эксперт RTMGroup Федор Музалевский.
По мнению экспертов, пентест следует проводить регулярно, лишь в этом случае данная процедура сможет показать свою максимальную эффективность. Это связано с тем, что сегодня IT-сфера стремительно развивается, в том числе каждый день появляются новые уязвимости и эксплоиты, инфраструктура и условия функционирования информационных систем подвержены стремительным изменениям.
Результаты пентеста
По результатам проведенного пентеста экспертами предоставляется отчет о проделанной работе. На законодательном уровне форма и содержание такого отчета не регулируются, а это значит, что формат определяется самим экспертом.
По словамЕвгения Царева экспертаRTMGroup: «Подробное описание выполненных действий – вот мерило честности и квалификации специалиста, проводившего пентест».
Как результат,пентест позволяет выявить уязвимые места в организационной системе информационной безопасности и устранить их, прежде чем злоумышленники смогут ими воспользоваться и нанести серьезный ущерб организации. Поэтому тестирование на проникновение является необходимой составляющей обеспечения информационной безопасности как банков, так и любой другой организации.