Пентест. Планирование тестирования на проникновение
08.09.2021
Статьи
В первой части цикла материалов про пентест (Пентест. Что такое и зачем нужен) мы разобрались в том, что такое тестирование на проникновение и зачем оно нужно. Вторая часть посвящена планированию и организации пентеста.
Во-первых, пентест никогда не будет проводиться командой, обслуживающей и защищающей тестируемую систему. В большинстве случаев это означает, что пентест проводится сторонними экспертами, которые знают, как атаковать системы и как они будут атаковать именно вашу организацию.
Например: Волнует ли вас, что торговые автоматы в вашем холле можно взломать, чтобы они заглатывали лишние купюры, не выдавая конфеты? Ну, может быть, если это "Сникерс", но это, вероятно, не является приоритетом для исследования в рамках пентеста на бизнес-уровне.
Итак, для проведения полноценного пентеста вам сначала нужно определить:
"Внутренний аудит" звучит довольно формально - и так оно и есть, но на самом деле это просто означает документирование всех ваших ключевых систем и данных, а затем оценку того, насколько они важны и насколько уязвимы для злоумышленников. Для небольшой ИТ-компании это может занять всего лишь полдня у доски или в электронной таблице. Для этого упражнения целесообразно собрать разнообразную группу заинтересованных лиц - вы можете быть удивлены тем, что ваши коллеги вспомнили то, о чем вы даже не подозревали.
После того как системы и ресурсы будут проверены, определите, какие из них вы хотите включить в тест на проникновение. В целом, вы хотите, чтобы ваш тест был сосредоточен на ресурсах и системах с высокой ценностью и высокой степенью риска. Вы также можете включить некоторые высокоценные системы с низкой степенью воздействия.
Что касается малоценных систем, то они, скорее всего, останутся за рамками пентеста (за исключением случайных векторов атак), поскольку результаты пентеста малоценных систем в любом случае не будут определять значимую стратегию безопасности.
Если у вас еще нет поставщика услуг по проведению пентестов, целесообразно провести это упражнение до или во время общения с поставщиками, с которыми вы планируете работать. Затем вы сможете использовать результаты проверки для оценки тестировщиков, убедиться, что они обладают необходимым опытом для тех областей безопасности, которые вы планируете изучить, а также установить общие ожидания и сформировать техническое задание. После привлечения конкретного тестировщика вы можете проанализировать результаты аудита до начала тестирования, чтобы определить приоритеты, или вы можете выбрать метод "черного ящика", когда реальные тестировщики имеют ограниченную видимость того, какие системы и данные защитники считают наиболее ценными.
Вам также необходимо продумать, какие элементы управления безопасностью вы будете использовать для оценки. Например, начало пентеста внутри периметра с предоставлением тестерам определенного уровня доступа (относительно распространенная практика) является более целесообразным, но означает, что тест не позволит оценить эффективность некоторых ключевых элементов управления безопасностью.
Результаты в масштабе
Очень важно понимать и четко определять не только то, какие системы, но и какие результаты входят в сферу деятельности ваших специалистов по пентестам.
Например, если в ходе пентеста может быть скомпрометирована база данных ваших клиентов, могут ли тестеры предпринять попытку вывести всю базу данных в облачное хранилище? Могут ли они удалить файлы в базе данных, заставив вашу команду восстанавливать их из резервной копии? Могут ли они опубликовать данные публично, проверяя, как ваша организация отреагирует на фактическое нарушение своих обязанностей? Или им следует просто завершить тест и уведомить вас, не трогая данные?
Очевидно, что некоторые из этих предлагаемых результатов выходят за рамки возможностей большинства организаций. Но то, какие результаты выходят за рамки, зависит от конкретного клиента, и очень важно установить четкие и ясные ожидания в отношении результатов.
С одной стороны, не стоит сразу исключать результаты, которые могли бы дать вашей команде больше информации. Страшно, когда специалисты по пентестам на самом деле изымают реальные данные, но это также отличная возможность проверить и подтвердить все имеющиеся у вас инструменты и политики предотвращения потери данных. Вывод из строя действующих серверов в производстве - это действительно страшно, но это единственный способ узнать, соответствует ли план обеспечения устойчивости вашей организации необходимым требованиям.
С другой стороны, не поддавайтесь излишней самоуверенности. Худшая ошибка, которую вы можете совершить при оценке результатов, - это сказать: "Вы можете делать все, что захотите! Не волнуйтесь, вы никогда не поставите под угрозу наши системы". Дело в том, что целеустремленный, терпеливый, изощренный злоумышленник почти всегда сможет в конечном итоге скомпрометировать любую нормальную бизнес-систему, и ваш пентест ничем от этого не отличается.
Это еще одно упражнение, в котором необходимо задействовать заинтересованные стороны из разных команд. Здесь жизненно важны высокопоставленные представители бизнеса, юридического отдела и отдела рисков. Легче спросить разрешения, чем прощения. Вы никогда не захотите объяснять неосведомленному руководителю компании результаты пробного тестирования, которые неожиданно нарушили реальные операции.
Теперь, когда вы рассмотрели это тщательное упражнение по определению масштаба, перед вами встает следующий ключевой вопрос:
Однако есть одно ключевое ограничение, когда вы выбираете поставщика услуг по проведению пентестов: избегайте конфликта интересов. Это означает две вещи. Во-первых, не заказывайте проведение пентеста у той же организации, которая предоставляет ИТ-системы или решения безопасности, которые вы хотите протестировать, а если и заказываете, то будьте крайне осторожны.
Хотя специалисты по проведению пентестов в целом являются надежной группой профессионалов, никогда не стоит получать услугу и оценку этой услуги от одной и той же организации. Это создает слишком большой риск неправильного распределения стимулов, слишком много причин для того, чтобы ваши специалисты по пентестам смягчили любые пробелы в безопасности, которые они могут обнаружить, и слишком большой соблазн проигнорировать известные слабые места в собственном продукте.
Аналогичным образом, следует с осторожностью относиться к пентестам, предлагаемым поставщиком безопасности в рамках цикла продаж. Это еще один случай неправильно подобранных стимулов. В этом случае, однако, пентестер/продавец стремится выявить уязвимости, которые может устранить его сервис, независимо от того, действительно ли эти уязвимости представляют ключевые риски для вашей организации.
Часть 2. Планирование пентеста
Во второй части нашего блога мы обсудим, как планировать проведение пентеста, включая ключевой вопрос о том, кто должен проводить пентест.Во-первых, пентест никогда не будет проводиться командой, обслуживающей и защищающей тестируемую систему. В большинстве случаев это означает, что пентест проводится сторонними экспертами, которые знают, как атаковать системы и как они будут атаковать именно вашу организацию.
Определение масштаба пентеста
В вашей организации бесчисленное множество ИТ-систем, которые могут повлиять на безопасность. Для специалистов по тестам на проникновение нецелесообразно, непрактично и неактуально пытаться скомпрометировать их все.Например: Волнует ли вас, что торговые автоматы в вашем холле можно взломать, чтобы они заглатывали лишние купюры, не выдавая конфеты? Ну, может быть, если это "Сникерс", но это, вероятно, не является приоритетом для исследования в рамках пентеста на бизнес-уровне.
Итак, для проведения полноценного пентеста вам сначала нужно определить:
Системы для пентеста
Определение систем для пентеста включает в себя проведение внутреннего аудита ваших систем и данных."Внутренний аудит" звучит довольно формально - и так оно и есть, но на самом деле это просто означает документирование всех ваших ключевых систем и данных, а затем оценку того, насколько они важны и насколько уязвимы для злоумышленников. Для небольшой ИТ-компании это может занять всего лишь полдня у доски или в электронной таблице. Для этого упражнения целесообразно собрать разнообразную группу заинтересованных лиц - вы можете быть удивлены тем, что ваши коллеги вспомнили то, о чем вы даже не подозревали.
После того как системы и ресурсы будут проверены, определите, какие из них вы хотите включить в тест на проникновение. В целом, вы хотите, чтобы ваш тест был сосредоточен на ресурсах и системах с высокой ценностью и высокой степенью риска. Вы также можете включить некоторые высокоценные системы с низкой степенью воздействия.
Что касается малоценных систем, то они, скорее всего, останутся за рамками пентеста (за исключением случайных векторов атак), поскольку результаты пентеста малоценных систем в любом случае не будут определять значимую стратегию безопасности.
Если у вас еще нет поставщика услуг по проведению пентестов, целесообразно провести это упражнение до или во время общения с поставщиками, с которыми вы планируете работать. Затем вы сможете использовать результаты проверки для оценки тестировщиков, убедиться, что они обладают необходимым опытом для тех областей безопасности, которые вы планируете изучить, а также установить общие ожидания и сформировать техническое задание. После привлечения конкретного тестировщика вы можете проанализировать результаты аудита до начала тестирования, чтобы определить приоритеты, или вы можете выбрать метод "черного ящика", когда реальные тестировщики имеют ограниченную видимость того, какие системы и данные защитники считают наиболее ценными.
Вам также необходимо продумать, какие элементы управления безопасностью вы будете использовать для оценки. Например, начало пентеста внутри периметра с предоставлением тестерам определенного уровня доступа (относительно распространенная практика) является более целесообразным, но означает, что тест не позволит оценить эффективность некоторых ключевых элементов управления безопасностью.
Результаты в масштабе
Очень важно понимать и четко определять не только то, какие системы, но и какие результаты входят в сферу деятельности ваших специалистов по пентестам.
Например, если в ходе пентеста может быть скомпрометирована база данных ваших клиентов, могут ли тестеры предпринять попытку вывести всю базу данных в облачное хранилище? Могут ли они удалить файлы в базе данных, заставив вашу команду восстанавливать их из резервной копии? Могут ли они опубликовать данные публично, проверяя, как ваша организация отреагирует на фактическое нарушение своих обязанностей? Или им следует просто завершить тест и уведомить вас, не трогая данные?
Очевидно, что некоторые из этих предлагаемых результатов выходят за рамки возможностей большинства организаций. Но то, какие результаты выходят за рамки, зависит от конкретного клиента, и очень важно установить четкие и ясные ожидания в отношении результатов.
С одной стороны, не стоит сразу исключать результаты, которые могли бы дать вашей команде больше информации. Страшно, когда специалисты по пентестам на самом деле изымают реальные данные, но это также отличная возможность проверить и подтвердить все имеющиеся у вас инструменты и политики предотвращения потери данных. Вывод из строя действующих серверов в производстве - это действительно страшно, но это единственный способ узнать, соответствует ли план обеспечения устойчивости вашей организации необходимым требованиям.
С другой стороны, не поддавайтесь излишней самоуверенности. Худшая ошибка, которую вы можете совершить при оценке результатов, - это сказать: "Вы можете делать все, что захотите! Не волнуйтесь, вы никогда не поставите под угрозу наши системы". Дело в том, что целеустремленный, терпеливый, изощренный злоумышленник почти всегда сможет в конечном итоге скомпрометировать любую нормальную бизнес-систему, и ваш пентест ничем от этого не отличается.
Это еще одно упражнение, в котором необходимо задействовать заинтересованные стороны из разных команд. Здесь жизненно важны высокопоставленные представители бизнеса, юридического отдела и отдела рисков. Легче спросить разрешения, чем прощения. Вы никогда не захотите объяснять неосведомленному руководителю компании результаты пробного тестирования, которые неожиданно нарушили реальные операции.
Результаты в объеме
Вы также захотите поработать со своим потенциальным специалистом по пен-тестированию, чтобы понять все результаты. Отчет о пентесте - это не просто мигающий "зеленый" или "красный" индикатор. Вместо этого ваш тестировщик должен предоставить подробное объяснение всех результатов тестирования, включая каждый маневр теста (успешный или неуспешный), каждую обнаруженную уязвимость, любую выполненную компрометацию и так далее. Этот обзор должен включать как результаты, так и контекст, позволяя вам подтвердить эффективные средства контроля, понять неэффективные и поделиться результатами с вашими внутренними заинтересованными сторонами.Теперь, когда вы рассмотрели это тщательное упражнение по определению масштаба, перед вами встает следующий ключевой вопрос:
Кто должен проводить пентест?
Нет никакого секрета в выборе квалифицированного поставщика услуг по тестированию на проникновение. Как и в случае с любым другим предложением в области кибербезопасности, вы должны искать поставщика, обладающего как организационным опытом, так и высококвалифицированными, опытными специалистами. Всегда хорошо, если организацию рекомендуют коллеги по отрасли, или если они обладают специальными знаниями о тех типах систем, которые вы считаете приоритетными при проведении аудита.Однако есть одно ключевое ограничение, когда вы выбираете поставщика услуг по проведению пентестов: избегайте конфликта интересов. Это означает две вещи. Во-первых, не заказывайте проведение пентеста у той же организации, которая предоставляет ИТ-системы или решения безопасности, которые вы хотите протестировать, а если и заказываете, то будьте крайне осторожны.
Хотя специалисты по проведению пентестов в целом являются надежной группой профессионалов, никогда не стоит получать услугу и оценку этой услуги от одной и той же организации. Это создает слишком большой риск неправильного распределения стимулов, слишком много причин для того, чтобы ваши специалисты по пентестам смягчили любые пробелы в безопасности, которые они могут обнаружить, и слишком большой соблазн проигнорировать известные слабые места в собственном продукте.
Аналогичным образом, следует с осторожностью относиться к пентестам, предлагаемым поставщиком безопасности в рамках цикла продаж. Это еще один случай неправильно подобранных стимулов. В этом случае, однако, пентестер/продавец стремится выявить уязвимости, которые может устранить его сервис, независимо от того, действительно ли эти уязвимости представляют ключевые риски для вашей организации.
