Penetration testing – это тестирование на проникновение. Если говорить проще, то это вариант поиска, изучения и эксплуатации разного рода уязвимостей в сфере кибербезопасности той или иной организации. Услугу регулярно заказывают самые разные компании независимо от сферы деятельности.Определение так себе. Но суть верная - пентестер ищет уязвимости и эксплуатирует.
Задача пентестера – исследовать сайты, веб-приложения, сетевые сервисы и службы, СУБД, сетевое оборудование, протоколы сетевой модели OSI, средства защиты данных, прикладное программное обеспечение (ПО), пользовательские и серверные операционные системы, прочее.Тестирование позволяет оперативно и точно найти уязвимые и в целом слабые места системы безопасности предприятия, которыми при желании и наличии достаточного опыта могут воспользоваться злоумышленники. Притом не только на виртуальном, но и на физическом уровне (отдельная тема). А учитывая, что новые уязвимости появляются постоянно, проводить такое тестирование нужно регулярно. Для финансовых организаций – не реже одного раза в год.
Требования на законодательном уровне и на уровне регулирования
Важно! На законодательном уровне регулирования нетБолее того, до сих пор нет четких правил оформления данных работ. Теоретически реакция правоохранительной системы может быть любой. Серьезный всплеск интереса к услуге тестирования на проникновение произошел после принятия в 2018 году поправок к: Положение Банка России от 09.06.2012 N 382-П (ред. от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" 382-П зарегистрирован в Минюсте (что важно) и обязателен для большого количества финансовых организаций. На этом регулятор не остановился, аналогичные требования по проведению пентеста были распространены (по положению 684-П) и на некредитные финансовые организации. Кроме того, фин.организации должны выполнять аудит информационной безопасности и сертификацию используемого в работе ПО (но это отдельная история). Итак,
Требования по пентесту для финансовых компаний
- Банки и НФО должны проводить тест на проникновение не реже раза в год.
Виды пентестов
- Традиционно пентестинг начинается с техники, специалисты по безопасности проводят анализ, обнаруживают и эксплуатируют уязвимости программного обеспечения и/или оборудования. При этом делается все возможное, чтобы действия специалистов никоим образом не нарушили работу банковской структуры. Также применяют инструменты ручного и автоматического тестирования. Все этапы и способы тестирования, как правило, предварительно оговариваются со службой информационной безопасности предприятия. Позже обсудим Read Teaming.
- Также используются тесты, основанные на методах социальной инженерии. Специалисты проверяют, насколько сотрудники осведомлены в вопросах инфобезопасности, знают ли они, как выявить угрозу и как действовать в такой ситуации. К сожалению, сегодня во многих банках уровень осведомленности сотрудников в вопросах информационной безопасности довольно невысокий. Есть примеры, когда персонал нарушает свою инструкцию напрямую, или просто не знают или не имеют таковой. Открывают сомнительные зараженные электронные письма, скачивают файлы из неизвестных источников, выдают данные по телефону и прочее. Как следствие, злоумышленники получают доступ к конфиденциальной информации. Данная информация может пригодиться команде по пентесту в дальнейшей работе по развитию атаки.
- Многие исследователи отдельно выделяют социотехнические пентесты, совмещающие в себе принципы двух предыдущих. С их помощью специалисты могут обнаружить самые вероятные уязвимости и направления атак злоумышленников.
- Внешний пентест без учетных или с учетными данными клиента;
- Внутренний пентест без учетных или с учетными данными пользователя;
- Внутренний пентест с данными администратора (странный вариант, но имеет место на рынке).
- Насколько пентестер информирован об используемых средствах защиты, аппаратном/программном обеспечении клиента, сетевой инфраструктуре компании?
- Какие средства для атаки может использовать?
- Разрешено ли эксплуатировать уязвимости и какие?
- Требуется ли согласование действий с представителем атакуемой организации?
- Каковы сроки и бюджет проекта?
Кто может проводить пентест?
Вопрос можно разделить на 2 части: У кого есть право проводить пентесты? Ответ на данный вопрос - не регулируется. Формально - кто угодно. Кому доверяют свою инфраструктуру в действительности? Опытным и авторитетным компаниям со значительным опытом и хорошими отзывами на рынке. Лучшая репутация - сарафанное радио.Сроки и ожидаемые результаты пентестинга
Возвращаясь к финансовым компаниям. Требования ЦБ не устанавливают четкие временные рамки проведения пентестинга. Они сильно зависят от особенностей банковской структуры, ее объемов, уровня кибербезопасности и киберустойчивости в настоящий момент, количества сотрудников и других параметров. Тем не менее, стандартные сроки такие:- от 1 до 10 дней на сбор информации;
- от 1 до 5 дней на подготовку к тестированию;
- 1-10 дней на эксплуатацию уязвимостей;
- до 5 дней на подготовку отчета;
- до 10 дней на обсуждение результатов пентеста с заказчиком;
- список проведенных тестов;
- перечень обнаруженных уязвимостей;
- описание того, какие способы эксплуатации уязвимостей применялись и какие результаты проверки получены;
- сведения по протоколу действий службы реагирования;
- рекомендации для устранения обнаруженных уязвимостей.
Стоимость услуг по пентесту
На западе цена пентеста начинается от 8-12 тысяч долларов. В России в зависимости от состава услуг цены на пентест могут начинаться от 150 - 200 тысяч рублей. Максимальная цена контракта, о которой мне известно 36 миллионов рублей. При этом нужно понимать, что более или менее адекватной ценой за пентест можно считать сумму от 600 тысяч рублей до 2-3 миллионов рублей, опять же зависит от состава и объема работ.Автор статьи: Царев Евгений
Было бы полезно добавить про наиболее популярные сканеры уязвимостей. Мой персональный рейтинг:
1) XSpider 7
2) GFI LANguard
3) Retina Network Security Scanner
4) Microsoft Baseline Security Analyzer
5) WARNING
6) OpenVAS
7) SAINT
8) X-Scan
9) Rapid 7 NeXpose
Вы как-то незаслуженно забыли про Nessus.
Это один из самых популярных инструментов для сканирования уязвимостей.
Также не совсем правильно ставить на первое место XSpider. Если выбирать отечественные решения, то лучше указать MaxPatrol
Согласен. Исходя из этой парадигмы WARNING вообще можно исключить.
Какой вид пентеста дает наиболее объективную оценку состояния безопасности (внешний пентест без учетных или с учетными данными клиента; внутренний пентест без учетных или с учетными данными пользователя; внутренний пентест с данными администратора)?
Наиболее полную оценку дает пентест, при котором у эксперта есть максимум исходных данных, но стоимость у него существенная. Поэтому распространён пентест по методике «черного ящика» – когда эксперт полностью эмулирует злоумышленника и обладает ограниченным набором сведений. Такой пентест оптимально сочетает полноту тестирования и не слишком обременителен финансово