Тесты на проникновение глазами профессионалов

Денис Гундорин
руководитель направления
инфраструктурных решений
департамента информационной безопасности
компании Softline

Помимо высокомотивированных на результат злоумышленников – хакеров, существует целый ряд автоматизированных средств, которые добывают конфиденциальную информацию и зарабатывают на ней.

Возросшая коммерческая выгода от действий злоумышленников привела к тому, что если раньше вредоносный код писался одиночками с целью самоутверждения, то теперь пришло время профессионалов с высокой квалификацией, которые целенаправленно зарабатывают деньги. Появился внутренний рынок киберпреступников – профессионалов, которые целенаправленно зарабатывают деньги, продавая услуги, связанные с вредоносным ПО.

Что предлагает рынок средств защиты информации против ежедневного "нашествия"?

Антивирусное ПО. Каждую минуту в мире появляется 4 новых вируса, и частота появления с каждым годом увеличивается:   треть  всех существующих вирусов создана за 2010 г. Антивирусные продукты не успевают за выпуском новых вирусов, имея довольно продолжительный цикл реакции на них и очень слабые эвристические анализаторы.

Антивирусные продукты хорошо справляются с наиболее распространенными и известными вирусными угрозами, однако они не способны защитить от распространения нового злоумышленного кода. Тем не менее от антивирусных средств нельзя отказываться, так как они хорошо справляются с наиболее распространенными и известными вирусными угрозами.

Системы IPS/IDS – системы предотвращения вторжений – работают по методу обнаружения сигнатуры кода, который эксплуатирует уязвимость, но и тут не все спокойно – злоумышленники могут применить динамические техники обхода (AET), чтобы видоизменить используемую сигнатуру, и большинство систем IPS перестают "видеть" угрозу. По данным известной независимой лаборатории NSS, 70% протестированных средств перестают опознавать угрозу вторжения даже при элементарных действиях по ее сокрытию.

Наибольшую роль в защите информации играет компетентность специалистов, обеспечивающих ее безопасность. При этом велика вероятность человеческого фактора: несоблюдение установленных процедур, несогласованность действий специалистов и недооценка рисков могут привести к краже информации. Необходимы дополнительная гарантия и внешний аудит безопасности информационных систем.

Pentest

Одним из видов внешнего аудита является тест на проникновение (penetration testing, pentest), суть которого сводится к следующему: аудиторы, благодаря специальным знаниям и инструментарию, имея на руках санкционированное разрешение, повторяют путь злоумышленников в попытке украсть информацию.

В тестах на проникновение можно выделить 3 уровня, в зависимости от угроз, которым противостоят информационные системы клиента.

Уровень 1

Противостояние простым, случайным атакам – угрозам, исходящим от автоматизированных злоумышленных средств и хакеров-любителей.

В этом случае тестирование всего внешнего периметра производится с помощью запуска сканирующих приложений. Используются как коммерческие продукты, так и собственные разработки. Использование различных сканирующих систем позволяет охватить наибольшее количество возможных уязвимостей, использовать разнородные подходы поиска и выявления уязвимостей, разработанные производителями. После получения отчетов от каждого средства производится ручная сверка результатов с выявлением "ложноположительных" результатов.

Уровень 2

Противостояние направленным атакам – угрозам, исходящим от опытных хакеров, у которых есть конкретные мотивы для проведения атак.

Тестирование уровня 2 включает все методы, используемые на уровне 1, с той разницей, что должно быть дополнено ручным тестированием, в ходе которого будет учтена специфика конкретного заказчика и используемой им IТ-инфраструктуры. Для этого профессионалы-аудиторы вручную проводят глубокое исследование систем на наличие уязвимостей. Основной упор при этом делается на Web-приложения и наиболее актуальные угрозы из списка Top-10 OWASP (организации, осведомляющей о безопасности Web-приложений и представляющей единый источник всех наиболее критичных уязвимостей Web-технологий). После проведения ручного тестирования аудиторы производят правку отчета этапа 1, внося ранее пропущенные уязвимости и исправляя ложноотрицательные результаты (False Negative).

Выявив уязвимости, аудиторы попытаются использовать их, чтобы проникнуть внутрь информационных систем для кражи конфиденциальной информации либо с целью привести тестируемые системы в состояние отказа работы.

Завершающим этапом является исследование работы Web-приложений и сетевых сервисов под высокими нагрузками: таким образом аудиторы попытаются вызвать отказ в обслуживании новых подключений (DOS-атака).

Уровень 3

Противостояние направленным атакам со знанием внутренней информации о системах – угрозам, исходящим от опытных хакеров, которые детально осведомлены о системах, конфигурациях и процессах.

Тестирование 3-го уровня предназначено для проверки защищенности информационных ресурсов против целенаправленных атак с использованием внутренней (инсайдерской) информации.

К такой информации относятся данные учетных записей, архитектура и конфигурация информационных систем, внутренние регламенты и процедуры, аутентификационная информация для входа на Web-сайт, исходный код и т.п.

Наличие уязвимостей, выявленных на данном уровне тестирования, свидетельствует о потенциальных рисках со стороны злоумышленников, обладающих соответствующей информацией: собственных

сотрудников, клиентов, партнеров и т.д. Тестирование 3-го уровня также включает методы 1-го и 2-го уровней.

В зависимости от полученной информации тестирование 3-го уровня может включать:

• тестирование настроек межсетевого экрана;
• тестирование Web-приложений после авторизации;
• проверка безопасности платежных процедур;
• тестирование безопасности Web-кода.

Социальная инженерия

Наибольшее количество утечек конфиденциальной информации происходит не умышленно, а случайно, когда пользователи по незнанию допускают распространение конфиденциальной информации. А если подобной неосмотрительностью воспользуется злоумышленник?

Представим ситуацию, когда пользователю вдруг пришло письмо от одного из отсутствующих в офисе руководителей с просьбой срочно предоставить последнюю версию наработанных им документов по текущему проекту. Письмо пришло с обычной подписью, с корпоративного адреса. Что сделает сотрудник перед тем, как ответить, приложить и отправить требуемые файлы? Скорее всего, ничего. Что потребовалось злоумышленнику, чтобы подготовить подобное письмо для получения сведений по интересующему его проекту? Только открытая информация и менее 1000 рублей. Имена сотрудников, работающих в организации, – через Web-сайт компании и публичные сети. E-mail адреса – от секретаря компании. Подпись – от ответного письма на просьбу злоумышленника начальнику сделать что-либо, не входящее в его компетенцию. Для формирования обратного корпоративного адреса был зарегистрирован домен с похожим написанием (цена с поддержкой DNS менее 1000 руб.) и к нему была подключена бесплатная почтовая система gmail в качестве почтовика.

С каждым годом люди оставляют все больше и больше следов и информации о себе в Интернете – в публичных сетях, на сайтах, в блогах, Твиттере. Чем больше информации известно о человеке, тем легче им управлять и тем легче использовать методы социальной инженерии при добыче конфиденциальной информации.

Необученные люди в системе защиты информации зачастую становятся слабым звеном. Поэтому необходимо уделять должное внимание разработке нормативных документов, описывающих действия персонала по защите конфиденциальной информации, доводить эту информацию до их сведения, обучать людей методам выявления злоумышленников и противодействия им, проводить тестирования и выборочные неафишируемые попытки проникновения, используя методы социальной инженерии.

Технический тест на проникновение, действия, которые могут привести к остановке либо замедлению работы сервисов, методы социальной инженерии аудиторы могут применять только с разрешения руководства заказчика по заранее согласованной методике и времени проведения.

После проведения тестирования результаты каждого описанного выше этапа обобщаются и разрабатывается итоговый отчет, который должен документировать результаты тестирования и давать заказчику понимание реального состояния ИБ тестируемых систем. В отчете должна быть представлена полная информация о выявленных уязвимостях в ИБ, об уровне их критичности, а также рекомендации по их устранению. Документ должен быть структурирован таким образом, чтобы заказчик мог использовать первый раздел отчета для предоставления описания уровня безопасности компании для руководства или аудитора, а второй раздел – для технических специалистов.

Как можно было видеть при описании действий и методик теста на проникновение, это сложный и трудозатратный проект, который выполняют специалисты высокого класса.

Пентесты позволяют правильно оценить уровень текущей защиты информационных активов компании и при необходимости скорректировать действия и методы защиты, предотвращая кражу конфиденциальной информации.