Как из пентеста выжать максимум: 7 шагов

Одной из действенных мер, позволяющих усилить информационную защищенность компаний, будет комплексный пентест. Он доступен и сравнительно небольшим организациям. На мой взгляд, главное, что требуется от пентеста — быть эффективным. С акцентом на это и разберем: когда и зачем его проходить, какой отчет получать по итогам, нюансы подготовки и выбора команды.

Но сначала напомню о трех наиболее заметных кибератаках 2024-го. Тогда NPD оказалась легкой добычей хакеров: из-за крайне низкой защищенности она поплатилась кражей 3 млрд строк персональных данных, содержащих имена, номера соцстрахования, адреса жителей разных стран. По словам РБК, эти данные стали золотой жилой для киберпреступников, они активно предлагали базу на теневых рынках для использования в мошеннических схемах. В другом случае хакерам удалось парализовать работу электронных систем 13 аэропортов Мексики, пригрозив утечкой трех терабайт данных, если не будет выплачен выкуп. Наконец, атака вируса-вымогателя на корпорацию CDK Global сказалась на работе почти 15 тыс. компаний и обернулась совокупным убытком в $1 млрд. 

Кибератаки усложняются, растет число комплексных, таргетированных атак и тот, кто не уделяет должного внимания защите своих активов, находится под угрозой. Сегодня у организаций, по сути, выбор невелик: либо повышать уровень защищенности, а значит, проводить и регулярные пентесты, либо в какой-то момент стать объектом кибератаки с непредсказуемыми последствиями. По данным Positive Technologies, в 2024 году каждый второй киберинцидент в России нарушал бизнес-процессы компаний.

Напомню, что основная задача пентеста — смоделировать поведение злоумышленников и подтвердить возможность нанести финансовый, репутационный ущерб бизнесу во время реальной кибератаки. Он позволяет оценить защищенность информационной системы, проверить готовность специалистов к отражению атак, определить, насколько эффективны политики в области IT-безопасности, что можно усовершенствовать.

Итак, вы нацелены пройти пентест

Во время подготовки к пентесту важно перепроверить ИТ-инфраструктуру, понять готовность к внешним ИБ-исследованиям. При необходимости — получить согласования от заинтересованных сторон (в т. ч. юридического отдела, владельца систем и т.д.). Правда, последнее не относится к тем случаям, когда пентест нацелен на проверку, к примеру, ИБ-персонала компании и призван показать, как специалисты будут реагировать на факт атаки. В этом случае тестирование для них оказывается «сюрпризом».

Для достижения цели в ходе пентеста используются разные сценарии хакерской атаки. Демонстрация того, как злоумышленник мог бы использовать ту или иную уязвимость и легко похитить данные или нарушить работу системы, зачастую производит большое впечатление и заставляет серьезно задуматься о безопасности.

Порой такое сценарии бывают банальными, к примеру, по логину admin или, взломав Wi-Fi, можно попасть во внутреннюю сеть, а там ничего не разграничено и есть доступ ко всему. Не стоит забывать, что некоторые принтеры раздают Wi-Fi. Достаточно к такому устройству подключиться, выполнить удаленное исполнение кода, и принтер становится мостом во внутреннюю сеть предприятия. Но любопытна скорее цепочка получения результата: и чем она длиннее, тем интереснее.

Когда и зачем стоит проходить пентест?

Во всех случаях, если:

1. столкнулись с инцидентом или утечкой данных,
2. не проводили пентесты больше года,
3. внедрили новые сервисы или собираетесь это сделать, 
4. предстоит развертывание новой инфраструктуры (например, облачной платформы),
5. ожидается пик нагрузки (вследствие «Черной пятницы» или «Киберпонедельника»),
6. перед крупным мероприятием, где используется онлайн-платформа,
7. вы стали отвечать за все направление ИБ,
8. вам надо подтвердить соответствие нормативным требованиям (ряд законов и стандартов, к примеру, PCI DSS, требуют проведения регулярных проверок безопасности),
9. отработали рекомендации предыдущего пентеста.

Тестирование на проникновение помогает своевременно выявить слабые места и подготовиться к потенциальным кибератакам в период проведения акций, распродаж, любых заметных мероприятий, поскольку такая активность со стороны компании обращает на себя внимание злоумышленников.

Выручит пентест и нового руководителя ИБ-направления. Да, ему не всегда все расскажут, и нет гарантии того, что все будет отражено в документации. Поэтому для него лучшая история, чтобы быстро понять, в каком состоянии находится ИТ-инфраструктура — это провести полноценный пентест. Он покажет реальное положение дел с информационной безопасностью в компании, в т.ч. насколько качественно настроены имеющиеся СЗИ, позволит оценить их эффективность, поможет разработать стратегию развития ИБ.

Какой отчет получаем?

По итогам пентеста интересно получить подробный отчет с глубоким анализом недопустимых событий, где указываются модель нарушителя, возможные векторы атак, приводятся оценки временных и материальных затрат на ее проведение, прописываются найденные уязвимости, степень их критичности, к чему эксплуатация каждой из них может привести. А также дается оценка их влияния на бизнес-процессы с рекомендациями по усилению средств защиты, оптимизации настроек, вплоть до того, какие СЗИ стоит приобрести с тем, чтобы закрыть обнаруженные уязвимости и повысить уровень защищенности. В ARinteg мы предоставляем отчет «Тестирования на проникновение».

Что из отчета может узнать, каких рисков избежать, рассмотрим на одном из примеров.

Это был комплексный анализ защищенности: внешней и внутренней инфраструктуры, веб-ресурсов, мобильных приложений по модели «белого ящика». Атакующие добились полного контроля над системами заказчика, оценка уязвимостей проводилась по шкале OWASP и CVSS.

Тестирование внешней инфраструктуры выявило критическую уязвимость удаленного выполнения кода для хостов. В случае успешной эксплуатации она позволяла неавторизованному пользователю удаленно провоцировать сбои в работе устройств. Кроме этого, были выявлены уязвимости: переполнения буфера, удаленного кода, раскрытия чувствительной информации, в т. ч. и самая распространенная — устаревшее ПО.

При аудите защищенности веб-приложений обнаружилось, что учетные, чувствительные данные находятся в открытом доступе, т.е. под угрозой в случае их утечки оказалась бы репутация компании.

Среди уязвимостей средней степени риска — раскрытие внутренней информации и о системе, вплоть до утечки данных служб DNS, т. е. кто угодно мог видеть, какие сайты посещались и какими веб-приложениями пользовались. Причиной тому могла быть некорректно настроенная VPN-услуга, конфликт IPv6 или хакерская атака.

Внутренний пентест выявил использование ряда протоколов, паролей пользователей в открытом виде, открытые административные интерфейсы, пароли, заданные производителем и т. п. Их эксплуатация позволяла атакующим реализовать все вероятные угрозы: нарушения целостности, доступности и конфиденциальности.

По результатам пентеста компании рекомендовалось провести обновление ПО до актуальных версий, ограничить публичный доступ по ряду адресов, убрать службу RTP с внешнего сетевого периметра, отключить вывод информации о точных версиях ПО и веб-серверов, не передавать пути к файлам и многое другое.

На что смотреть при выборе исполнителя пентеста?

На наличие сертификатов и лицензии ФСТЭК России, опыт работы в определенной отрасли, понимание ее специфики. Полезно также запросить и изучить кейсы, отзывы, рекомендации заказчиков. Получить понимание уровня работы команды по тому, какое число пентестов и насколько успешно она провела.

ARinteg более десяти лет проводит пентесты. Между проектами команда пентестеров проходит тренировки на различных площадках, например, PortSwigger Academy, HackTheBox и многих других. Но чаще мы сами ставим уязвимые системы для отработки навыков. Так что постоянный мониторинг новых уязвимостей и мгновенная их отработка проходит на своих «грушах для битья». 

Что значит хорошо прописанное ТЗ?

Такое ТЗ максимально точно описывает: зачем проводится тестирование и какие задачи призвано решить, отражает все требования, исключает двусмысленные толкования и дает четкую картину того, что получаете на выходе. 

В нем точно определены объекты тестирования (системы, приложения, сети), обозначены его границы, области и какие угрозы стоит учесть (утечка данных, фишинг, DDoS и прочее). Прописаны ограничения и исключения, ответственность сторон. Обозначены критерии успешности, какие этапы должны быть выполнены, учтены требования по неразглашению (NDA), сроки и время работ. Если быстрый пентест проводится за 1-7 дней и позволяет проверить отдельные компоненты (к примеру, просканировать уязвимости веб-приложения) и оперативно выявить критические уязвимости, то глубокий пентест — это комплексное тестирование, которое занимает от 4 до 8 недель, он востребован и в том случае, когда требуется провести имитацию сложных и длительных атак.

Укрепляем слабое звено

При любой атаке самым уязвимым звеном будет человек, а потому атаки методом социальной инженерии будут в топе. Они настроены на то, чтобы любым способом заставить потенциальную жертву совершить нужное действие, а для этого ее надо либо испугать (к примеру, сообщением: «ваш пароль успешно изменен» и человек кликает по ссылке, не подумав), либо заинтересовать, либо пообещать выгоду.

В целях профилактики можно проводить учебные фишинговые атаки с максимально правдоподобными историями: под Новый год это письма от партнеров с подарками, путь к которым — переход по ссылке. С теми, кто на это попадается, проводить обучение.

В числе успешных недавних фишингов назову письма из псевдо-Роскомнадзора о блокировках, письма о штрафах, также от псевдо-hr может прийти письмо со списком сотрудников, подлежащих мобилизации, на это тоже нередко попадаются.

Не исключаются и «полевые занятия», допустим, с разбрасыванием флешек по офису. Обычно не более 20% сотрудников принесет их в службу безопасности, остальные откроют их дома или на работе.

По итогам пентеста

Мы советуем максимально оперативно закрывать уязвимости, точно следовать рекомендациям отчета и настраиваться на регулярные пентесты, это уже best practices, важный элемент ИБ-стратегии немалого числа компаний. Во время пентеста подсвечиваем заказчику уязвимости, чтобы по возможности он мог их сразу устранять или компенсирующие меры принимать. Если есть понимание критичности выявленной уязвимости, то такая работа выполняется максимально оперативно. Также рекомендуем быть готовыми миксовать экспертов для всестороннего исследования прочности киберграниц, хотя и здесь бывают исключения.

После того как компания отработает данные ей рекомендации, можно выходить на проверочный пентест, который покажет, как прошла работа над ошибками, удалось ли прийти в нужную точку или нет. Будет видна динамика, что станет весомым аргументом для руководства в проведении регулярных тестирований, которые позволят повысить текущий уровень ИБ-компании и поддерживать ее на высоком уровне.