Могут ли тесты на проникновение выявить все уязвимости?
Для комплексной оценки состояния безопасности современной ИТ-инфра-структуры банка эксперту необходимы вспомогательные инструменты. Если сравнивать с автомобилем, то еще 15-20 лет назад опытный водитель мог самостоятельно провести почти полную техническую диагностику, а для оценки состояния современной машины нужны специализированные устройства и помощь высококвалифицированного специалиста. Подобным образом сейчас обстоят дела и с оценкой состояния ИБ банков и финансовых организаций.
ИНСАЙДЕРЫ - ГЛАВНАЯ ПРОБЛЕМАСуществует мнение, что лучшей оценкой защищенности информационных систем компании является проведение теста на проникновение. Он позволяет выявить уязвимости при помощи сканеров защищенности и в последующем моделировать внешнюю или внутреннюю атаку на информационные активы компании. Если «взломать» систему не удается, компания делает вывод о надежной защищенности своих ресурсов. В противном случае устраняются выявленные уязвимости и считается, что опасности нет. Но это, к сожалению, не так!
В ходе теста на проникновение выявляются возможности намеренного обхода системы защиты злоумышленниками. Ими могут быть как сторонние лица, так и сами сотрудники компании. При этом лишь небольшое количество авторских методик проведения тестов на проникновение ставит перед собой задачу не только моделирования атаки со стороны внутренних и внешних злоумышленников, но и от лица легального пользователя с заранее установленным набором прав. Такие атаки предполагают «пробу на зуб» системы защиты с рабочей станции пользователя либо с ноутбука, подключенного в ту или иную сетевую розетку.
Для небольших компаний этим способом возможно оценить потенциальную угрозу, исходящую от всех групп пользователей, имеющих разные права доступа к системе. Но стоимость тестов на проникновение будет многим не по карману. Поэтому большинство компаний, заказывающих тест, либо исключают из границ работ моделирование атаки изнутри, либо заказывают проведение атаки от лица одного или нескольких пользователей с наиболее «интересными» правами доступа. Но важно помнить и об остальных пользователях. К наиболее часто встречающимся инцидентам по вине сотрудников компании можно отнести следующие:
• отправка конфиденциальной информации через социальные сети, ICQ.и web-почту;
• случайные утечки конфиденциальной информации из общедоступных папок («файловых помоек»);
• необоснованная выгрузка администраторами значительных объемов конфиденциальной информации из баз данных (БД);
несанкционированные транзакции с БД в обход имеющихся систем ИБ;
• ведение сотрудниками собственной деятельности в ущерб интересам компании.
Очевидно, что значительное число угроз и уязвимостей, к которым приводят вышеописанные инциденты, не могут быть выявлены одними тестами на проникновение. Нужна комплексная оценка состояния безопасности и построение грамотных механизмов защиты. Мы разработали модульную услугу «Экспертный консалтинг по информационной безопасности» для решения этих задач. Она содержит обширный набор опций, из которых можно выбрать необходимые:
• экспертное обследование организационных и технических механизмов защиты;
• разработка долгосрочной программы развития (стратегии) ИБ;
• инструментальный анализ защищенности информационной системы компании (включая тест на проникновение);
• анализ защищенности компании с использованием методов социальной инженерии;
• интеллектуальный автоматизированный анализ файловых ресурсов открытого доступа с целью выявления конфиденциальной информации;
• анализ рисков ИБ;
• инструментальный анализ запросов к БД компании при помощи системы специализированного мониторинга;
• инструментальный анализ утечек конфиденциальной информации с использованием скрытой системы мониторинга каналов коммуникаций.
В отличие от тестов на проникновение такой подход охватывает всю систему ИБ компании. Для каждого заказчика выбирается оптимальный набор опций, который позволяет выявить проблемы различной степени важности и построить сбалансированную систему защиты, избегая необоснованных финансовых затрат. При этом размер вложений оказывается значительно ниже возможных потерь, связанных с инцидентами ИБ.
СПРАВКАПо статистике компании «Инфосистемы Джет», в 2010 г. более 74% инцидентов в российских компаниях были связаны со злонамеренными или случайными действиями самих сотрудников компании, обладающих различными правами доступа. Показательно, что около 25% инцидентов связано с действиями администраторов, которые в большинстве случаев исключаются из числа потенциальных злоумышленников.
Начать дискуссию