BIS-комментарий к статье «Тест на проникновение: чего-то не хватает… Закон есть, но как его выполнять?» №1

BIS Journal №1(52)2024

21 февраля, 2024

BIS-комментарий к статье «Тест на проникновение: чего-то не хватает… Закон есть, но как его выполнять?» №1

В действительности ситуация имеет следующий вид: для каких-то отраслей установлены требования по проведению теста на проникновение в явном виде, для каких-то даётся только рекомендация по применению меры.

Например, в финансовой отрасли пентесты обязательны, а в МЭК 63096 по безопасности объектов атомной энергетики рекомендательны. Для их проведения существует большое количество общих верхнеуровневых фреймворков, которые позволяют оптимально выстроить процесс, но в то же время отсутствуют те самые детальные методические рекомендации, которые определяют последовательные шаги при тестировании на проникновение, а также требования к формированию отчёта.

В первую очередь эта ситуация обусловлена тем, что такие рекомендации на данный момент описаны только коммерческими организациями, оказывающими услуги по проведению пентестов. Но эта детализированная техническая информация является проприетарной, то есть имеет высокую коммерческую ценность для этих компаний. Раскрыть её — всё равно что разгласить коммерческую тайну или собственное ноу-хау. Задача по формированию общей методологии под силу скорее государственным ведомствам и органам власти.

Второй момент связан с многообразием применяемого стека IT/OT, описать особенности которого в рамках одной методологии — задача не из лёгких. Можно представить, что в идеале это должна быть информационная система или веб-ресурс, в котором на лету конфигурируется методика для конкретного проекта в зависимости от архитектурной особенности и технологического стека.

Третий момент: не всегда при проведении пентеста возможно поэксплуатировать уязвимость, так как к ней может не быть опубликованного PoC (Proof of Concept), а также попытка эксплуатации имеет риск нарушения нормального функционирования объектов ИТ-инфраструктуры. Неслучайно в том же МЭК 63096 при тестировании на проникновение какого-либо технологического оборудования, влияющего на атомную безопасность, рекомендуют его проводить на стендовой инфраструктуре (макете), а на реальном оборудовании только во время проведения планово-предупредительных работ.

Четвёртое: любой тест на проникновение показывает результаты на текущий момент времени. В организации постоянно происходят изменения — добавление и/или обновление аппаратного и программного обеспечения. При этом сами банки данных угроз и уязвимостей, будь то БДУ ФСТЭК или NVD от NIST, постоянно обновляются новыми опубликованными уязвимостями, рекомендациями вендоров и сообщениями об опубликованных PoC. Все эти факторы заставляют нас проводить непрерывные пентесты (Continuous Penetration Testing) и периодические redteam.

В текущей ситуации экспертному сообществу необходимо объединиться и через ассоциации и технические комитеты предложить регуляторам концепцию методологии, которая, в частности, классифицирует виды тестов на проникновения и опишет подходы, учитывающие различные объекты и сценарии тестирования.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных