Новости о резонансных кибератаках убеждают в необходимости работать на предупреждение и усиливать информационную защищённость компаний. Вспомним хотя бы три из числа наиболее заметных кибератак 2024-го. Тогда NPD оказалась лёгкой добычей хакеров: из-за крайне низкой защищённости она поплатилась кражей 3 млрд строк персональных данных, содержащих имена, номера соцстрахования, адреса жителей разных стран.
По словам РБК, эти данные стали золотой жилой для киберпреступников, они активно предлагали базу на теневых рынках для использования в мошеннических схемах. В другом случае хакерам удалось парализовать работу электронных систем 13 аэропортов Мексики, пригрозив утечкой трёх терабайт данных, если не будет выплачен выкуп. Наконец, атака вируса-вымогателя на корпорацию CDK Global сказалась на работе почти 15 тыс. компаний и обернулась совокупным убытком в $1 млрд.
Одной из действенных мер, позволяющих усилить информационную защищённость компаний, будет комплексный пентест. Он доступен и сравнительно небольшим организациям. На мой взгляд, главное, что требуется от пентеста, — быть эффективным. С акцентом на это и разберём: когда и зачем его проходить, какой отчёт получать по итогам, нюансы подготовки и выбора команды.
Напомню, что основная задача пентеста — смоделировать поведение злоумышленников и подтвердить возможность нанести финансовый, репутационный ущерб бизнесу во время реальной кибератаки. Он позволяет оценить защищённость информационной системы, проверить готовность специалистов к отражению атак, определить, насколько эффективны политики в области ИT-безопасности, что можно усовершенствовать.
Как отмечает Help Net Security, в 2024 году средняя стоимость восстановления после атак шифровальщиков достигла $2,73 млн (+ $1 млн к 2023 г.). ExtraHop в своём отчёте, проанализировав долгосрочные финансовые последствия громких утечек публичных компаний, пришла к выводу, что организации сильно недооценивают последствия успешных кибератак, пока не окажутся в центре одной из них. По их расчётам, в среднем одна подобная утечка обходилась им в $677 млн.
Да, атаки на такие компании более заметны, но и небольшой бизнес хакеры не обходят стороной, сейчас все под угрозой. Согласно Help Net Security, в 2024 году более 50% жертв программ-вымогателей имели в штате менее 200 сотрудников, а 66% — менее пятисот.
Так что выбор для компаний невелик: либо проводить регулярные пентесты и повышать уровень защищённости, либо в какой-то момент стать объектом кибератаки с непредсказуемыми последствиями. По данным Positive Technologies, в 2024 году каждый второй киберинцидент в России нарушал бизнес-процессы компаний.
Итак, вы нацелены пройти пентест
Во время подготовки к пентесту важно перепроверить ИТ-инфраструктуру, понять готовность к внешним ИБ-исследованиям. При необходимости — получить согласования от заинтересованных сторон (в том числе юридического отдела, владельца систем и т. д.). Правда, последнее не относится к тем случаям, когда пентест нацелен на проверку, к примеру, ИБ-персонала компании и призван показать, как специалисты будут реагировать на факт атаки. В этом случае тестирование для них оказывается «сюрпризом».
Для достижения цели в ходе пентеста используются разные сценарии хакерской атаки. Демонстрация того, как злоумышленник мог бы использовать ту или иную уязвимость и легко похитить данные или нарушить работу системы, зачастую производит большое впечатление и заставляет серьёзно задуматься о безопасности.
Порой такое сценарии бывают банальными, к примеру, по логину admin или взломав Wi-Fi, можно попасть во внутреннюю сеть, а там ничего не разграничено и есть доступ ко всему. Не стоит забывать, что некоторые принтеры раздают Wi-Fi. Достаточно к такому устройству подключиться, выполнить удалённое исполнение кода, и принтер становится мостом во внутреннюю сеть предприятия. Но любопытна скорее цепочка получения результата, и чем она длиннее, тем интереснее.
Когда и зачем стоит проходить пентест?
Во всех случаях, если:
Тестирование на проникновение помогает своевременно выявить слабые места и подготовиться к потенциальным кибератакам в период проведения акций, распродаж, любых заметных мероприятий, поскольку такая активность со стороны компании обращает на себя внимание злоумышленников.
Выручит пентест и нового руководителя ИБ-направления. Да, ему не всегда всё расскажут, и нет гарантии того, что всё будет отражено в документации. Поэтому для него лучшая история, чтобы быстро понять, в каком состоянии находится ИТ-инфраструктура, — это провести полноценный пентест. Он покажет реальное положение дел с информационной безопасностью в компании, в том числе насколько качественно настроены имеющиеся СЗИ, позволит оценить их эффективность, поможет разработать стратегию развития ИБ.
Какой отчёт получаем?
По итогам пентеста интересно получить подробный отчёт с глубоким анализом недопустимых событий, где указываются модель нарушителя, возможные векторы атак, приводятся оценки временных и материальных затрат на её проведение, прописываются найденные уязвимости, степень их критичности, к чему эксплуатация каждой из них может привести. А также даётся оценка их влияния на бизнес-процессы с рекомендациями по усилению средств защиты, оптимизации настроек, вплоть до того, какие СЗИ стоит приобрести с тем, чтобы закрыть обнаруженные уязвимости и повысить уровень защищённости. Мы такой отчёт предоставляем. В нём отмечаем, какие используем передовые технические решения и свои наработки. Пример такого всестороннего обезличенного отчёта можно запросить на сайте ARinteg в разделе «Тестирование на проникновение», оставив заявку.
Что из отчёта может узнать, каких рисков избежать, рассмотрим на одном из примеров.
Это был комплексный анализ защищённости: внешней и внутренней инфраструктуры, веб-ресурсов, мобильных приложений по модели «белого ящика». Атакующие добились полного контроля над системами заказчика, оценка уязвимостей проводилась по шкале OWASP и CVSS.
Тестирование внешней инфраструктуры выявило критическую уязвимость удалённого выполнения кода для хостов. В случае успешной эксплуатации она позволяла неавторизованному пользователю удалённо провоцировать сбои в работе устройств. Кроме этого, были выявлены уязвимости: переполнения буфера, удалённого кода, раскрытия чувствительной информации, в том числе и самая распространённая — устаревшее ПО.
При аудите защищённости веб-приложений обнаружилось, что учётные, чувствительные данные находятся в открытом доступе, то есть под угрозой в случае их утечки оказалась бы репутация компании.
Среди уязвимостей средней степени риска — раскрытие внутренней информации и о системе, вплоть до утечки данных служб DNS, то есть кто угодно мог видеть, какие сайты посещались и какими веб-приложениями пользовались. Причиной тому могла быть некорректно настроенная VPN-услуга, конфликт IPv6 или хакерская атака.
Внутренний пентест выявил использование ряда протоколов, паролей пользователей в открытом виде, открытые административные интерфейсы, пароли, заданные производителем, и т. п. Их эксплуатация позволяла атакующим реализовать все вероятные угрозы: нарушения целостности, доступности и конфиденциальности.
По результатам пентеста компании рекомендовалось провести обновление ПО до актуальных версий, ограничить публичный доступ по ряду адресов, убрать службу RTP с внешнего сетевого периметра, отключить вывод информации о точных версиях ПО и веб-серверов, не передавать пути к файлам и многое другое.
На что смотреть при выборе исполнителя пентеста?
На наличие сертификатов и лицензии ФСТЭК России, опыт работы в определённой отрасли, понимание её специфики. Полезно также запросить и изучить кейсы, отзывы, рекомендации заказчиков. Получить понимание уровня работы команды по тому, какое число пентестов и насколько успешно она провела.
Что значит хорошо прописанное ТЗ?
Такое ТЗ максимально точно описывает, зачем проводится тестирование и какие задачи призвано решить, отражает все требования, исключает двусмысленные толкования и даёт чёткую картину того, что получаете на выходе.
В нём точно определены объекты тестирования (системы, приложения, сети), обозначены его границы, области и какие угрозы стоит учесть (утечка данных, фишинг, DDoS и прочее). Прописаны ограничения и исключения, ответственность сторон. Обозначены критерии успешности, какие этапы должны быть выполнены, учтены требования по неразглашению (NDA), сроки и время работ. Если быстрый пентест проводится за 1–7 дней и позволяет проверить отдельные компоненты (к примеру, просканировать уязвимости веб-приложения) и оперативно выявить критические уязвимости, то глубокий пентест — это комплексное тестирование, которое занимает от 4 до 8 недель, он востребован и в том случае, когда требуется провести имитацию сложных и длительных атак.
Укрепляем слабое звено
При любой атаке самым уязвимым звеном будет человек, а потому атаки методом социальной инженерии будут в топе. Они настроены на то, чтобы любым способом заставить потенциальную жертву совершить нужное действие, а для этого её надо либо испугать (к примеру, сообщением: «ваш пароль успешно изменён» — и человек кликает по ссылке, не подумав), либо заинтересовать, либо пообещать выгоду.
В целях профилактики можно проводить учебные фишинговые атаки с максимально правдоподобными историями: под Новый год это письма от партнёров с подарками, путь к которым — переход по ссылке. С теми, кто на это попадается, проводить обучение.
В числе успешных недавних фишингов назову письма из псевдоРоскомнадзора о блокировках, письма о штрафах, также от псевдоhr может прийти письмо со списком сотрудников, подлежащих мобилизации, на это тоже нередко попадаются.
Не исключаются и «полевые занятия», допустим, с разбрасыванием флешек по офису. Обычно не более 20% сотрудников принесёт их в службу безопасности, остальные откроют их дома или на работе.
По итогам пентеста
Мы советуем максимально оперативно закрывать уязвимости, точно следовать рекомендациям отчёта и настраиваться на регулярные пентесты, это уже best practices, важный элемент ИБ-стратегии немалого числа компаний. Во время пентеста подсвечиваем заказчику уязвимости, чтобы по возможности он мог их сразу устранять или принимать компенсирующие меры. Если есть понимание критичности выявленной уязвимости, то такая работа выполняется максимально оперативно. Также рекомендуем быть готовыми миксовать экспертов для всестороннего исследования прочности киберграниц, хотя и здесь бывают исключения.
После того как компания отработает данные ей рекомендации, можно выходить на проверочный пентест, который покажет, как прошла работа над ошибками, удалось ли прийти в нужную точку или нет. Будет видна динамика, что станет весомым аргументом для руководства в проведении регулярных тестирований, которые позволят повысить текущий уровень ИБ компании и поддерживать её на высоком уровне.
ARinteg уже более десяти лет проводит пентесты для различных компаний, в том числе из финансовой сферы. Наши специалисты выступают спикерами ряда профильных мероприятий. Между проектами команда пентестеров проходит тренировки на различных площадках, например PortSwigger Academy, HackTheBox и многих других. Но чаще мы сами ставим уязвимые системы для отработки навыков. Так что постоянный мониторинг новых уязвимостей и мгновенная их отработка проходят на своих «грушах для битья». Всё это позволяет нам быстро выявлять уязвимости и предлагать эффективные решения по их устранению.
Реклама. ООО «АРИНТЕГ», ИНН: 7709450637, Erid: 2VfnxwLRget
.png)
.png)
.png)
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)