Как пентестеры помогают компаниям повысить свою защищенность

Полагать, что кибератаки, прибавляющие как в числе (отдельное спасибо развитию ИИ), как и в качестве, кого-то обойдут стороной и никак не отразятся на бизнесе, в текущих реалиях просто наивно. Мне сложно понять, чем руководствуются те, кто предпочитает думать, что именно их это никогда не коснется. Не минимизировать такие риски, на мой взгляд, чревато немалыми неприятностями. 

Мы видим, что уже после первого крупного инцидента у компаний обычно происходит резкая переоценка уровня защищенности. Приходит понимание необходимости проведения аудита своей инфраструктуры. И здесь одним из доступных и быстрых вариантов, практически «скорой помощью» может стать пентест, который дает возможность оценить безопасность систем или сетей путем моделирования реальной хакерской атаки.

В этой колонке расскажу, что дает пентест: кому, когда и зачем стоит его проводить, каких результатов ожидать, а также напомню, что нельзя сбрасывать со счетов при выборе команды пентеста.

Что дает пентест

Цель такого тестирования на проникновение — оценить возможности получения доступа и совершения несанкционированных действий в отношении информационных систем заказчика. Получить объективную и независимую оценку текущего уровня защищенности от атак со стороны внешнего нарушителя, определить возможности нанесения финансового, репутационного урона в результате хакерской атаки, и получить рекомендации по устранению уязвимостей для повышения уровня защищенности. 

В отсутствие страховки

Специалисты в области кибербезопасности неслучайно рекомендуют организациям любого масштаба регулярно, хотя бы раз в год, проводить пентесты. Их стоимость начинается от 150 тыс руб. за один IP-адрес, средняя — около 900 тыс руб. Сравните это со средней суммой первоначального выкупа — 53 млн рублей, который требовали злоумышленники в 2023 году в результате успешной атаки на компанию программ-вымогателей. 

Эти цифры приводит компания F.A.C.C.T. Согласно ее данным, в 2023 году количество атак программ-вымогателей с целью получения выкупа выросло на 160% по сравнению с 2022 годом, их жертвами чаще всего становились ретейлеры, производственные, строительные, туристические и страховые компании. Замечу, что сегодня, количественно преобладают кибератаки, направленные на сетевое оборудование, а качественно — атаки вирусов-шифровальщиков.

В пользу пентестов

Если раньше говорил, что к пентестам компании прибегают, чаще всего, в двух случаях: для них это требование регулятора либо компанию уже взломали, то в последнее время стал все более заметен и такой побудительный мотив: желание компаний продвигать безопасный продукт, которое все больше проявляется. Поскольку так будет и проще, и выгоднее. При каждом изменении в инфраструктуре грамотные коллеги по рынку обычно просят провести пентест. В практику входит обязательное тестирование обновлений и новых систем перед тем, как они становятся общедоступными. 

Поэтому самое время пройти пентест, если вы:

• внедрили новые сервисы или собираетесь это сделать, 
• не проводили пентесты больше года.

Результаты тестирования

Что позволяет выявить пентест и какие могут быть даны рекомендации по его итогам, каких рисков удается избежать благодаря этому, покажу на одном из примеров. 

Тестирование проводилось по модели «белого ящика», которая предполагает, что «атакующие» имеют полную информацию о системе заказчика, т.е. в данном случае, имитировался вариант атаки с использованием инсайдерской информации.

Это был комплексный анализ защищенности как внешней и внутренней инфраструктуры одной из компаний, так и веб-ресурсов, мобильных приложений, в ходе которого выявили уязвимости наивысшего уровня критичности: добились полного контроля над системами заказчика. Оценку уязвимостей проводили по шкале OWASP и CVSS.

Так, тестирование внешней инфраструктуры, в частности, позволило выявить критическую уязвимость удаленного выполнения кода для хостов. В случае успешной эксплуатации такая уязвимость позволяла неавторизованному пользователю удаленно провоцировать сбои в работе устройств компании. Своевременное обнаружение позволило ее быстро устранить и исключить для заказчика подобные неприятности, способные привести к ощутимым финансовым и репутационным потерям. Также в ходе пентеста выявили уязвимости переполнения буфера, удаленного кода, раскрытия чувствительной информации, в т. ч. и самое распространенное —  устаревшее ПО.

При аудите защищенности веб-приложений обнаружилось, что учетные, чувствительные данные находятся в открытом доступе, что имело высокую степень риска для компании и было чревато штрафами со стороны регулятора в случае их утечки, а также под угрозу была поставлена репутация компании.

Среди уязвимостей средней степени риска, помимо устаревшего ПО, отметили: раскрытие внутренней информации и о системе. И вишенка на торте — утечка данных служб DNS, т.е. кто угодно мог видеть, какие сайты посещались и какими веб-приложениями пользовались, виной тому могла быть как некорректно настроенная VPN-услуга, конфликт IPv6 или хакерская атака.

При внутреннем тестировании на проникновение обратило на себя внимание использование внутри сети заказчика ряда протоколов, паролей пользователей в открытом виде, открытые административные интерфейсы, пароли, заданные производителем, возможность проведения атаки киберростинг, чувствительная информация в открытом доступе и подписание SMB трафика.

Эксплуатируя выявленные уязвимости, атакующий получал возможность реализовать все три вероятные угрозы: нарушения целостности, доступности и конфиденциальности.

По результатам пентеста компании рекомендовалось:

• провести обновление ПО до актуальных версий, 
• ограничить публичный доступ по ряду адресов, 
• убрать службу RTP с внешнего сетевого периметра, 
• отключить вывод информации о точных версиях ПО и веб-серверов, 
• не передавать пути к файлам, 
• ограничить доступ пользователей к информации, хранящейся на серверах, 
• использовать доверенный список доменов для перенаправления на другие ресурсы,
• не отображать точную версию ПО на странице ошибок, 
• не использовать для хранения паролей поле описания в каталоге пользователей,
• использовать строгую парольную политику,
• отключить в настройках веб-серверов заголовки, использующие версии ПО и многое, многое другое. 

Выполнение этих рекомендаций позволило заказчику закрыть найденные уязвимости до того, как их смогли использовать злоумышленники.

Получить образец подобного обезличенного всестороннего отчета по результатам пентеста можно на этой странице.

Выбор команды пентеста

Не стоит забывать, что навыки и прошлый опыт исполнителей определяют качество подобных проектов. Поэтому в заключении напомню о том, что не стоит сбрасывать со счетов при выборе команды пентеста:

1. не игнорируйте прошлые заслуги, выбирая поставщика сервиса пентеста, обязательно поинтересуйтесь у него наличием международных сертификатов в прошлом; 
2. эксперты по этичному взлому обычно предпочитают иметь дело с компанией конкретной вертикали, поэтому взвесьте все за и против, если решите брать на проект топовых экспертов из других отраслей;
3. не бойтесь миксовать экспертов для всестороннего исследования прочности киберграниц своих компаний;
4. запрашивайте рекомендации;
5. настраивайтесь на регулярные пентесты и то, каким способом вам будет лучше доносить информацию до владельцев компании. 

Вместо заключения

Пентест, на мой взгляд, — это самый короткий и доступный путь, позволяющий обнаружить уязвимости в системе и вовремя закрыть явные «дыры» в информационной безопасности компании. Получив подробнейший отчет с рекомендациями по его итогам, остается им только последовать. Не удивительно, что спрос на пентесты растет, особенно среди финансовых, страховых компаний, телекома и ИТ. Причем в этих сферах рост нередко связан с повторными обращениями заказчиков, которые уже делали пентесты, и понимают, что хотят получить от этого типа тестирования. А как давно у вас проводился пентест?