Пентест. Результаты тестирования
09.09.2021
Статьи
В первой части цикла материалов про пентест (Пентест. Что такое и зачем нужен) мы разобрались в том, что такое тестирование на проникновение и зачем оно нужно. Вторая часть посвящена планированию и организации пентеста (Пентест. Планирование тестирования на проникновение).
В этой третьей и последней статье блога мы объясним, что делать, если вы "провалили" тест на проникновение.
Но вы потерпели неудачу.
Возможно, вы узнали об этом в виде инцидента, произошедшего поздно ночью, когда существующие средства обнаружения предупредили о действиях пентестера, но только после того, как компрометация уже произошла. Возможно, пентестеры вызвали перебои в работе, которые вам пришлось устранять. Возможно, вы узнали о неудаче из отчета о результатах работы пентестера, в котором вы обнаружили, что ваши системы были взломаны без вашего ведома.
Такой результат разочаровывает и расстраивает. Может быть неловко сообщать о провале пентеста; может возникнуть ощущение, что вся тяжелая работа и усилия, которые вы приложили для обеспечения кибербезопасности, были потрачены впустую. Такая реакция разумна и понятна. Вы чувствуете, что потерпели неудачу.
Но важно помнить – это не так. Пентест, в ходе которого были обнаружены уязвимости, не является "провалом" - это именно тот результат, который вам был нужен. Опытный пентестер почти всегда найдет уязвимость, которую можно использовать. В конце концов, вы должны получить что-то за свои инвестиции в пен-тесты! Когда пентестер компрометирует ваши системы, он выполняет свою миссию. И это предоставляет вам редкую возможность выявить и устранить реальные пробелы в вашей безопасности, чтобы вы могли защитить бизнес.
Важной заинтересованной стороной, которую следует привлечь к этой работе, является ваша "синяя" команда, включая любых партнеров по безопасности. Когда "красная команда" и "синяя команда" могут сотрудничать при проведении тестирования и рассмотрении полученных отчетов, они, как правило, формируют более эффективное общее понимание вашей безопасности.
Далее просмотрите отчет о результатах тестирования. Вы хотите понять две вещи:
Анализ этих попыток и средств защиты, которые сработали, поможет вам проверить некоторые из ваших средств контроля безопасности, найти правильный баланс между безопасностью и удобством использования и сконцентрировать внимание на ключевых областях воздействия.
На каждом этапе определите, как ваша организация могла бы нарушить цепь поражения и предотвратить атаку. Будьте изобретательны - самая эффективная защита не всегда самая очевидная. Возможности обнаружения и реагирования часто являются менее разрушительной защитой, чем дополнительные уровни защиты, которые могут быть громоздкими и препятствовать удобству использования.
Например, если пентестер использовал социальную инженерию, чтобы определить имя финансового директора и подделать его электронную почту для вредоносной фишинговой атаки. Не ограничивайтесь только средствами защиты электронной почты. Подумайте о четкой идентификации внутренней и внешней электронной почты; об изменении политики, чтобы внутренние адреса электронной почты было труднее угадать; об ужесточении процедур обмена файлами и проверке вложений.
На каждом этапе "цепочки поражения" вы должны быть в состоянии определить несколько областей для улучшения безопасности - от технических, процедурных и личных.
После того как вы наметили области для возможных улучшений, оцените, какие из них вы хотите внедрить в первую очередь. Помните, что одно улучшение на одном этапе разорвет цепочку атак, но злоумышленники всегда стараются обойти защиту. Отдайте предпочтение тем усовершенствованиям, которые добавят наиболее надежную защиту от целого ряда атак. Такие улучшения могут варьироваться от тактических контрмер - таких как изменения конфигураций, разрешений, правил и процедур в существующих системах - до стратегических усовершенствований, таких как новые инвестиции в безопасность, перестройка архитектуры и т.д.
Убедитесь, что ваши инвестиции во время и ресурсы носят стратегический характер. Вместо добавления одной сигнатуры вредоносного ПО в инструменты защиты конечных точек, подумайте о том, как можно использовать анализ угроз для постоянного обновления систем обнаружения. Вместо того чтобы просто блокировать разрешения протокола удаленного рабочего стола, подумайте о том, обнаруживает ли ваша организация неправильные конфигурации и уязвимости в системах на постоянной основе.
Перовое тестирование - это реальная возможность добиться значимых изменений, не растрачивайте ее впустую.
Некоторые из выявленных вами улучшений потребуют реализации существующих планов или возможностей, например, установка уже приобретенных инструментов безопасности, которые быстро стали "полочными", или назначение четких обязанностей по эскалации оповещений. А некоторые выявленные вами улучшения могут потребовать дополнительной поддержки со стороны новых или существующих партнеров или поставщиков.
В этой последней категории инструменты защиты, которые необходимо реализовать, могут включать в себя:
• единый обзор различных систем, подверженных риску, включая сеть, конечные точки, облако и средства обеспечения безопасности.
• круглосуточный мониторинг безопасности с обнаружением, эскалацией, сортировкой и реагированием практически в режиме реального времени.
• управление рисками и уязвимостями, включая рекомендации по выбору приоритетных патчей и исправлений.
Серьезно отнеситесь к пробелам, выявленным в результате неудачи пентеста. Примите участие в оценке последствий и энергично внедряйте новые возможности, необходимые вашей организации. Как только вы это сделаете, вы можете обнаружить, что неудачный пентест был лучшим, что могло случиться для безопасности вашей компании. Затем, по истечении определенного времени, проведите еще один тест.
И в следующий раз вы, возможно, обнаружите, что Вы "прошли" свой Pen Test!
Если вы "прошли" тест на проникновение, либо с первой попытки, либо в ходе последующего тестирования - поздравляем! Это свидетельство всей той тяжелой работы, которую вы проделали, чтобы создать реальную практику безопасности для вашей организации. Насладитесь своим успехом.
Успешный пентест - это не кульминация, а лишь еще одна веха на пути обеспечения безопасности организации. Успешный пентест - это не гарантия того, что вы сможете победить завтрашних злоумышленников, вооруженных новыми методами, новыми инструментами, новыми уязвимостями нулевого дня и просто еще одним шансом.
В этой третьей и последней статье блога мы объясним, что делать, если вы "провалили" тест на проникновение.
Что происходит, когда вы "проваливаете" пентест?
Вы приступили к тестированию с большими надеждами. Вы добивались реальных успехов в обеспечении безопасности каждый квартал, каждый год, и, возможно, вы думали (как и 87% CISO), что ваша кибербезопасность лучше, чем у большинства компаний, или, по крайней мере, выше среднего.Но вы потерпели неудачу.
Возможно, вы узнали об этом в виде инцидента, произошедшего поздно ночью, когда существующие средства обнаружения предупредили о действиях пентестера, но только после того, как компрометация уже произошла. Возможно, пентестеры вызвали перебои в работе, которые вам пришлось устранять. Возможно, вы узнали о неудаче из отчета о результатах работы пентестера, в котором вы обнаружили, что ваши системы были взломаны без вашего ведома.
Такой результат разочаровывает и расстраивает. Может быть неловко сообщать о провале пентеста; может возникнуть ощущение, что вся тяжелая работа и усилия, которые вы приложили для обеспечения кибербезопасности, были потрачены впустую. Такая реакция разумна и понятна. Вы чувствуете, что потерпели неудачу.
Но важно помнить – это не так. Пентест, в ходе которого были обнаружены уязвимости, не является "провалом" - это именно тот результат, который вам был нужен. Опытный пентестер почти всегда найдет уязвимость, которую можно использовать. В конце концов, вы должны получить что-то за свои инвестиции в пен-тесты! Когда пентестер компрометирует ваши системы, он выполняет свою миссию. И это предоставляет вам редкую возможность выявить и устранить реальные пробелы в вашей безопасности, чтобы вы могли защитить бизнес.
Получение максимальной отдачи от пентеста
Результаты вашего теста на проникновение должны включать как успешные области, так и определенные области для улучшения, а также подробный отчет о методах, которые использовал тестировщик, чтобы скомпрометировать ваши системы. Теперь настала ваша очередь использовать эту золотую жилу информации о безопасности. Соберите заинтересованные стороны для анализа результатов тестирования. Как всегда, вам нужно охватить широкую сеть - эффективная кибербезопасность является межфункциональным мероприятием, ориентированным на бизнес-риски, а не только на ИТ-угрозы.Важной заинтересованной стороной, которую следует привлечь к этой работе, является ваша "синяя" команда, включая любых партнеров по безопасности. Когда "красная команда" и "синяя команда" могут сотрудничать при проведении тестирования и рассмотрении полученных отчетов, они, как правило, формируют более эффективное общее понимание вашей безопасности.
Далее просмотрите отчет о результатах тестирования. Вы хотите понять две вещи:
Какие области не поддались вашему пентестеру?
Даже если пентест "провалился", тестировщик обычно оценивает или пытается использовать несколько методов компрометации и сообщает о затраченных усилиях на эти защищенные области. Подобно физическим сейфам, которые оцениваются по тому, как долго они могут противостоять взломщику, понимание глубины вашей кибербезопасности поможет вам продолжать ее совершенствование.Анализ этих попыток и средств защиты, которые сработали, поможет вам проверить некоторые из ваших средств контроля безопасности, найти правильный баланс между безопасностью и удобством использования и сконцентрировать внимание на ключевых областях воздействия.
Понять цепочку поражения
Проанализируйте, как пентестер добился использования своих эксплойтов против ваших бизнес-систем. Как они проводили разведку, чтобы обнаружить ваши уязвимости? Какие инструменты атаки они выбрали и почему? Как они получили доступ к вашим системам и осуществили атаку, избежав при этом ваших защитных средств и обнаружения? Используйте MITRE ATT&CK Framework, чтобы точно определить, как произошла компрометация.На каждом этапе определите, как ваша организация могла бы нарушить цепь поражения и предотвратить атаку. Будьте изобретательны - самая эффективная защита не всегда самая очевидная. Возможности обнаружения и реагирования часто являются менее разрушительной защитой, чем дополнительные уровни защиты, которые могут быть громоздкими и препятствовать удобству использования.
Например, если пентестер использовал социальную инженерию, чтобы определить имя финансового директора и подделать его электронную почту для вредоносной фишинговой атаки. Не ограничивайтесь только средствами защиты электронной почты. Подумайте о четкой идентификации внутренней и внешней электронной почты; об изменении политики, чтобы внутренние адреса электронной почты было труднее угадать; об ужесточении процедур обмена файлами и проверке вложений.
На каждом этапе "цепочки поражения" вы должны быть в состоянии определить несколько областей для улучшения безопасности - от технических, процедурных и личных.
После того как вы наметили области для возможных улучшений, оцените, какие из них вы хотите внедрить в первую очередь. Помните, что одно улучшение на одном этапе разорвет цепочку атак, но злоумышленники всегда стараются обойти защиту. Отдайте предпочтение тем усовершенствованиям, которые добавят наиболее надежную защиту от целого ряда атак. Такие улучшения могут варьироваться от тактических контрмер - таких как изменения конфигураций, разрешений, правил и процедур в существующих системах - до стратегических усовершенствований, таких как новые инвестиции в безопасность, перестройка архитектуры и т.д.
Убедитесь, что ваши инвестиции во время и ресурсы носят стратегический характер. Вместо добавления одной сигнатуры вредоносного ПО в инструменты защиты конечных точек, подумайте о том, как можно использовать анализ угроз для постоянного обновления систем обнаружения. Вместо того чтобы просто блокировать разрешения протокола удаленного рабочего стола, подумайте о том, обнаруживает ли ваша организация неправильные конфигурации и уязвимости в системах на постоянной основе.
Распределите ответственность
Как только вы узнаете, какие улучшения в области безопасности вы планируете сделать, назначьте ответственных за их реализацию. По большинству пунктов основная ответственность будет лежать на ИТ, но ожидайте, что примерно 20% всех изменений могут касаться других функциональных групп. При распределении ответственности за эти усовершенствования будьте реалистичны в отношении того, что потребуется каждой команде для их реализации. Будете ли вы отодвигать другие пункты плана? Выделять дополнительный бюджет или персонал? Сокращать разброс ответственности?Перовое тестирование - это реальная возможность добиться значимых изменений, не растрачивайте ее впустую.
Некоторые из выявленных вами улучшений потребуют реализации существующих планов или возможностей, например, установка уже приобретенных инструментов безопасности, которые быстро стали "полочными", или назначение четких обязанностей по эскалации оповещений. А некоторые выявленные вами улучшения могут потребовать дополнительной поддержки со стороны новых или существующих партнеров или поставщиков.
В этой последней категории инструменты защиты, которые необходимо реализовать, могут включать в себя:
• единый обзор различных систем, подверженных риску, включая сеть, конечные точки, облако и средства обеспечения безопасности.
• круглосуточный мониторинг безопасности с обнаружением, эскалацией, сортировкой и реагированием практически в режиме реального времени.
• управление рисками и уязвимостями, включая рекомендации по выбору приоритетных патчей и исправлений.
Серьезно отнеситесь к пробелам, выявленным в результате неудачи пентеста. Примите участие в оценке последствий и энергично внедряйте новые возможности, необходимые вашей организации. Как только вы это сделаете, вы можете обнаружить, что неудачный пентест был лучшим, что могло случиться для безопасности вашей компании. Затем, по истечении определенного времени, проведите еще один тест.
И в следующий раз вы, возможно, обнаружите, что Вы "прошли" свой Pen Test!
Если вы "прошли" тест на проникновение, либо с первой попытки, либо в ходе последующего тестирования - поздравляем! Это свидетельство всей той тяжелой работы, которую вы проделали, чтобы создать реальную практику безопасности для вашей организации. Насладитесь своим успехом.
Успешный пентест - это не кульминация, а лишь еще одна веха на пути обеспечения безопасности организации. Успешный пентест - это не гарантия того, что вы сможете победить завтрашних злоумышленников, вооруженных новыми методами, новыми инструментами, новыми уязвимостями нулевого дня и просто еще одним шансом.
