Пентест. Что такое и зачем нужен

Часть 1. Что такое пентест и зачем он нужен

Что такое тест на проникновение?

Тест на проникновение - это санкционированная и смоделированная кибератака на ИТ-систему (или системы) для оценки существующих средств защиты. При проведении пентеста ИТ-команда организации - защитники - уполномочивает группу экспертов из числа этичных "хакеров" попытаться нарушить безопасность организации и, например: 

• Получить доступ или повысить привилегии учетных записей;
• Установить имитированный вредоносный код;
• Изменить конфигурацию системы;
• Продемонстрировать способ утечки данных или нарушения бизнес-процессов;
• Выполнить любой другой тип атаки, который могут предпринять злоумышленники.

Это означает, что пентест идет гораздо дальше, чем оценка. При оценке уязвимостей эксперты по безопасности оценивают ИТ-системы организации на предмет известных уязвимостей, которые могут включать небезопасные политики, непропатченные уязвимости программного обеспечения, неправильную конфигурацию и многое другое.

Оценка уязвимостей является ценным инструментом для ИТ-отдела, определяющим проблемные области, но она носит исключительно теоретический характер. Оценка уязвимостей не включает в себя реальную попытку использования этих уязвимостей и не учитывает контекст безопасности. Перовое тестирование замыкает цикл и не только подтверждает существование уязвимостей, но и демонстрирует, как они могут быть использованы реальным злоумышленником, и можно ли такую атаку заблокировать, обнаружить и отреагировать на нее должным образом.

Перовое тестирование также отличается от учений по безопасности. В учениях заинтересованные стороны - иногда из ИТ-отдела, а иногда из всей организации - рассматривают и разыгрывают реакцию компании на гипотетический сценарий атаки. Настольные учения чрезвычайно ценны для установления общих понятий и ожиданий, особенно между функциональными ролями, но они имеют дело с гипотетическим сценарием. Это означает, что учения не демонстрируют реальные возможности злоумышленника и не влияют на реальные бизнес-процессы. Перовое тестирование позволяет достичь и того, и другого.

Еще один термин, который вы, возможно, слышали, - это упражнение "красной команды", которое тесно связано с тестированием на проникновение. Вот в чем различие: тест на проникновение широко проверяет инфраструктуру безопасности и ее конфигурацию, в то время как упражнение "красной команды" проверяет возможности "синий команды" с полностью внедренным и настроенным стеком информационной безопасности.

Любой серьезный пентестер поможет клиентам понять, какие методы проникновения используются, и предложит как целевые, так и широкие методики проникновения, соответствующие потребностям группы безопасности. Если вы работаете с поставщиком услуг по проведению пентестов, который не может предложить продвинутое, целенаправленное тестирование на проникновение, то, возможно, вам следует поискать другого поставщика с большим опытом и знаниями

Как правило, пентест является неожиданностью для команды безопасности. Это ограничивает возможности команды безопасности активно участвовать и улучшать свои настройки технологий и процессов. В хорошо спланированном упражнении "красной команды" часто участвует команда безопасности, или "синяя команда".

Теперь, когда мы понимаем, что такое пентест и чем он не является, перейдем к сути этой статьи, 

Зачем нужны пентесты

Ранее мы описывали пентест как "санкционированную и смоделированную кибератаку на ИТ-систему (или системы)".

Звучит ужасающе! Мы все ежедневно сталкиваемся с достаточным количеством угроз, не выходя на улицу и не нанимая злоумышленников. Пентесты - это упражнения, требующие больших усилий, которые (в зависимости от масштаба) могут даже повлиять на реальные бизнес-процессы. Зачем вообще проводить пентесты?

Ну, потому что пен-они обеспечивают жизненно важные преимущества для безопасности, которые мы просто не можем получить другим способом.

Мы хотели бы рассмотреть четыре ключевых взаимосвязанных преимущества пентестов:

1. Пентест - это наиболее точный метод полной проверки уровня безопасности организации

Мы можем считать, что упражнения по проверке безопасности делятся на три уровня: "расскажи мне", "покажи мне" и "докажи это".

Оценка уязвимости на основе интервью фокусируется на "расскажи мне" - понимании командой безопасности своих собственных возможностей и процессов. Настольные учения достигают уровня "покажи мне" - фактической демонстрации возможностей в игре. Но для того, чтобы "доказать это", необходимо провести пентест.

Независимо от того, насколько передовыми являются наши инструменты безопасности, насколько квалифицированной является наша команда безопасности, насколько устойчива наша архитектура безопасности, насколько редко происходят реальные инциденты безопасности, мы не можем знать, как хороша наша защита. Пока не привлечем опытных злоумышленников для ее проверки. Мы просто не знаем. А когда речь идет о такой серьезной области бизнес-рисков, как кибербезопасность, незнание неприемлемо. Только пентест может обеспечить тестирование и проверку безопасности, необходимые организации.

2. Планирование пентеста меняет наше представление о кибербезопасности
Как ИТ-специалисты и эксперты по безопасности, мы смотрим на мир глазами защитника. Это мощная линза для взгляда на кибербезопасность, но это только половина картины. Планирование пентестов, как внутри компании, так и в рамках проверки с нашими пентестерами, дает нам возможность взглянуть на атакующую сторону, чтобы лучше понять нашу безопасность и ее потенциальные слабые места. Это позволит получить информацию для всех наших дальнейших усилий по обеспечению информационной безопасности.

3. 

Результаты пентестов выявляют области реальной уязвимости

Каждая система имеет бесчисленные точки уязвимости. Это неизбежно: чтобы система была эффективной для пользователей, она должна быть уязвима для злоумышленников. Поэтому защитникам очень сложно определить приоритеты защиты - всегда есть еще одна уязвимость, и каждый уровень защиты требует затрат денег, времени и удобства использования. Поскольку пентест демонстрирует, как злоумышленник может фактически скомпрометировать систему предприятия, он может определить реалистичную и эффективную программу защиты.

4. Результаты пентестов могут подтвердить стратегию безопасности
Ценность кибербезопасности бывает трудно продемонстрировать непрактикующим специалистам. В конце концов, когда безопасность работает эффективно ничего не происходит. Это затрудняет выделение необходимых ресурсов и внимания на текущие потребности безопасности. Но пентест решает эту задачу.

Успех пентеста - когда защитники сдерживают атакующих - демонстрирует ценность существующего внимания и инвестиций в безопасность. А "провал" пентеста - когда тестировщики доказывают, что они могут скомпрометировать ключевые системы - четко показывает опасные последствия с которыми сталкивается бизнес. А поскольку пентест основан на реальных атаках, результаты, какими бы они ни были, могут быть продемонстрированы заинтересованным лицам независимо от их опыта в области кибербезопасности.

По этим и другим причинам проведение пентестов может стать жизненно важной и даже революционной инвестицией в безопасность.

Во второй части нашего материала (Пентест. Планирование тестирования на проникновение) мы обсудим, как планировать проведение пентеста, включая ключевой вопрос о том, кто должен проводить пентест.