Пентест – это «ручная работа»

Тесты на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентесты) – довольно популярная во всем мире услуга в области информационной безопасности. Смысл подобных работ состоит в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор играет роль злоумышленника или «взломщика», перед которым стоит задача нарушить информационную безопасность сети заказчика. Тесты на проникновение являются наглядным показателем защищенности информационной структуры банка.

ЭФФЕКТИВНО, ЕСЛИ РЕГУЛЯРНО

Тесты на проникновение необходимо проводить регулярно, так как появляются новые уязвимости, разрабатываются новые эксплоиты, меняется инфраструктура и условия, в которой функционируют информационные системы, считает руководитель дирекции по управлению рисками Райффайзенбанка Мария Минаева. Причем тесты на проникновение нужно проводить как при внедрении новой банковской системы, так и при внесении существенных изменений в систему или инфраструктуру, поскольку данные изменения могут значительно снизить текущий уровень защищенности.

По мнению руководителя направления менеджмента информационной безопасности Digital Security Сергея Шустикова, применять пентест следует в случае, когда есть потребность объективно оценить степень защиты. Эксперт рекомендует делать его на регулярной основе для всех ключевых систем.

Следует отметить, что в настоящее время из числа стандартов и требований по обеспечению информационной безопасности (ИБ), применимых к кредитным организациям банковской системы Российской Федерации, требование по проведению теста на проникновение содержит только стандарт международных платежных систем PCI DSS. В пункте 11.3 данного стандарта содержится требование о ежегодном проведении теста на проникновение, а также о его проведении после существенных изменений в информационной инфраструктуре банка. Задачей теста на проникновение является проведение проверки защитных механизмов средств и систем, задействованных в обработке данных о держателях платежных карт и критичных аутентификационных данных, выявление уязвимостей и рисков, определение защитных мер, отмечает заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Янсон.

ОБЪЕКТЫ ПЕНТЕСТОВ

Проведение теста на проникновение в информационную систему банка занимает не менее месяца работы команды аудиторов в области информационной безопасности. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в довольно обычных случаях, когда уязвимости очевидны. В рамках теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему.

Объектами тестов на проникновение являются самые разные компоненты информационной инфраструктуры: активное сетевое оборудование, серверы, рабочие станции, информационные системы, базы данных. Задача пентестера – обнаружить в них уязвимости и выяснить возможность их эксплуатации, подчеркивает Сергей Шустиков (Digital Security).

По мнению Марии Минаевой (Райффайзенбанк), в первую очередь объектами тестов на проникновение являются системы дистанционного банковского обслуживания и публичные сервисы, предоставляемые клиентам кредитных организаций.

При тестировании используются различные методы как внутреннего, так и внешнего тестирования. Набор используемых тестов определяется в каждом конкретном случае и зависит от специфики проверяемого объекта.

Так, если речь идет о стандарте PCI DSS, то данным стандартом предусмотрен как внешний, так и внутренний пентест. Соответственно объектами первого являются объекты, доступные из сети Интернет, а второго – объекты, находящиеся во внутренней сети банка, в рамках которых происходит обработка данных о держателях платежных карт и критичных аутентификационных данных, рассказывает Иван Янсон (Промсвязьбанк). Если же говорить о тестах на проникновение без привязки к стандарту международных платежных систем, то чаще всего под пентестом подразумевается внешний пентест и соответственно его объектами являются только объекты, доступные из сети Интернет. Правда, при этом следует понимать, что конечной целью пентеста обычно являются не сами по себе объекты, доступные из сети Интернет, а те внутренние системы, которые стоят за ними. Поэтому опосредованно объекты ЛВС (локально-вычислительных сетей) все-таки тоже можно считать объектами пентеста даже в случае проведения внешних тестов на проникновение, подчеркивает эксперт.

Обычно в тестах на проникновение используются доработанные методики Национального института стандартов и технологии США (NIST) Draft Guideline on Network Security Testing и Open-Source Security Testing Methodology (OSSTM). Выбираются объекты исследования, задается модель нарушителя (включая его возможности) и оговаривается режим работы на основе уровня первоначальных знаний исполнителя о тестируемой системе «(Black Box» или «White Box») и уровня информированности заказчика об испытаниях (режим «Black Hat» или «White Hat»).

«WHITE BOX» И «BLACK BOX»

Существует два основных вида теста на проникновение: тестирование системы, состав и характеристики которой пентестеру заранее неизвестны («Black Box»), и тестирование известной системы («White Box»).

В первом случае тестирование производится без предварительных знаний о тестируемом объекте. Обычно в этом случае тестировщику предоставляется только диапазон внешних IP-адресов или адреса серверов, рассказывает Иван Янсон (Промсвязьбанк). Данный подход максимально приближен к действиям злоумышленника, не знакомого с целевой системой. Данные о тестируемом объекте собираются при помощи общедоступных источников. Можно сказать, что этот метод более приближен к «боевым» условиям.

Во втором случае производится более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями, рассказывает Иван Янсон (Промсвязьбанк).

«В любом случае тест на проникновение – это ручная работа высококвалифицированного специалиста», – подчеркивает Сергей Шустиков (Digital Security).

«BLACK HAT» ИЛИ «WHITE HAT»

Наряду с указанными выше основными методами модель пентеста определяется еще и тем, каким способом тестер взаимодействует с заказчиком и какой при этом используется перечень средств. Имеется в виду следующее. При проведении теста на проникновение специалисты по информационной безопасности проверяемого банка могут либо знать («White Hat»), либо, наоборот, не знать («Black Hat») о его проведении.

В режиме «Black Hat» о проведении работ знают только руководители службы ИБ. При этом задача группы тестировщиков – полностью имитировать действия злоумышленника, действуя максимально незаметно и не оставляя следов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов и администраторов ИБ.

В режиме «White Hat» каких-либо мер сокрытия атакующих действий не применяется, а исполнители тестов работают в постоянном контакте с ИБ-службой заказчика. Их основная задача сводится к обнаружению возможных уязвимостей и оценке риска проникновения в систему.

Перечень применяемых средств может включать в себя инструментальные средства анализа, ручные средства анализа, методы социальной инженерии и т.д.

Например, в рамках стандарта PCI DSS используется метод «Black Box» с обязательным информированием ИТ-специалистов проверяемого банка («White Hat»). Информирование сотрудников производится по той причине, что основная задача состоит в совместном обнаружении возможных уязвимостей и оценке риска проникновения в систему, а не в проверке уровня оперативной готовности к атакам сетевых администраторов или администраторов информационной безопасности, говорит Иван Янсон (Промсвязьбанк).

Методы социальной инженерии обычно не применяются или применяются в ограниченном объеме, подчеркивает эксперт. Кроме того, при этом из теста исключаются явные проверки, направленные на отказ в обслуживании тестируемых объектов и сервисов.

ТРУДОЕМКИЙ ПРОЦЕСС

Степень сложности проведения пентеста в банке зависит от объема проводимого тестирования. Так, выполнение полноценного теста на проникновение – это достаточно трудоемкий процесс, связанный с привлечением внешних компаний для проведения независимого анализа защищенности информационных систем, а также ресурсов различных подразделений банка, согласованием методологии и проработкой детального плана тестирования.

Провести пентест в банке сложно хотя бы по причине масштабности и сложности информационных инфраструктур кредитных организаций. Однако сложную задачу можно разбить на несколько простых, говорит Сергей Шустиков (Digital Security) – например, тестировать инфраструктуру банка по «кускам»: банк–клиент, потом АБС и т.д. «Такой подход придаст процессу системный характер, что очень важно в информационной безопасности».

При проведении теста на проникновение важно четко регламентировать действия сторон, выделить согласованные временные интервалы для проведения активных действий, определить этапность, те или иные ограничения, согласовывать действия при переходе от этапа к этапу, отмечает Иван Янсон (Промсвязьбанк). «Без выполнения указанных условий есть риск нарушения платежных и информационных технологических процессов, сервисов, реализуемых на базе объектов информационной инфраструктуры, которые подвергаются исследованию». Кроме того, необходимо последовательно документировать полученные результаты и на их основе формировать предложения по исправлению выявленных проблем. Ведь проведение теста не является самоцелью, важной частью является последующая отработка результатов теста и устранение обнаруженных уязвимостей.

ТИПИЧНЫЕ УЯЗВИМОСТИ

Особое внимание в методологии проведения тестов на проникновение уделяется оценке обнаруженных уязвимостей и ранжированию их по степени критичности.

Наиболее типичные уязвимости, характерные для операционных систем и программных продуктов, существуют в любой среде, не только в банках. «Классические уязвимости – это слабые пароли, необновленные операционные системы, ошибки программирования прикладных систем, особенно веб-ориентированных, открытые без необходимости порты на пограничных сетевых устройствах», – рассказывает Сергей Шустиков (Digital Security).

При этом особенности проведения пентестов в финансовой организации определяются спецификой используемых банковских технологий и могут идентифицировать уязвимости, уникальные для каждой организации, отмечает Мария Минаева (Райффайзенбанк).

Иван Янсон (Промсвязьбанк) высказывает предположение, что большая часть выявляемых уязвимостей связана с несвоевременным обновлением программного обеспечения и средств защиты, использованием предустановленных параметров настройки программного обеспечения и сетевого оборудования, несоблюдением парольной политики, ошибками в разработке программного обеспечения доступных из Интернета сервисов и т.д.

ПЕНТЕСТЕРЫ СЛЕДЯТ ЗА ПРОГРЕССОМ Методы тестирования на проникновение постоянно совершенствуются. Если бы пентестеры не следили за прогрессом, то их услуги очень быстро потеряли бы всю актуальность, поскольку хакеры проявляют активность и чуть ли не ежедневно их арсенал пополняется новыми способами взлома.

Сергей Шустиков (Digital Security) называет специалистов, занимающихся тестированием на проникновение, «исследователями, всегда находящимися в поиске уязвимых систем и процессов».

По мнению Ивана Янсона (Промсвязьбанк), об эволюции тестов на проникновение можно судить, например, по следующим параметрам. Во-первых, непрерывно расширяется спектр охватываемых объектов (операционные системы, сетевые сервисы, базы данных, приложения, беспроводные технологии и т.д.). Во-вторых, эволюционируют инструментальные средства (когда-то их не было или они мало что умели). В-третьих, растет число специализированных методик и возможностей по обучению этим методикам.

Мария Минаева (Райффайзенбанк) также отмечает постепенное развитие данного направления в информационной безопасности банков. Например, все чаще в рамках тестов на проникновение используются элементы и методы социальной инженерии (social engineering). Основной целью проведения такого теста является выявление уровня осведомленности персонала банка о требованиях по информационной безопасности. В процессе проведения тестирования определяется реакция пользователей и персонала, ответственного за информационную безопасность на организационные методы проникновения, используемые злоумышленниками.

Следует отметить, что методы социальной инженерии нередко используются злоумышленниками и направлены, как правило, на конечных пользователей. В результате успешной атаки злоумышленник может получить контроль над рабочими станциями, получить конфиденциальные документы банка, использовать ресурсы кредитной организации для организации атак на системы других компаний, рассылки спама и т.д.

Организационные аспекты информационной безопасности являются важнейшей составляющей системы защиты, и часто обычные пользователи являются самым слабым звеном. Данная услуга позволит выявить те организационные аспекты ИБ, на которые заказчику следует обратить внимание в первую очередь.