На вебинаре «Вся правда о пентестах», организованном beeline cloud, специалисты рассказали, как управлять уязвимостями. Эксперты пояснили, как организовывать соответствующий процесс, услугами каких пентестеров воспользоваться, какому алгоритму действий отдать предпочтение при ограниченном бюджете.
В разговоре участвовали директор по информационной безопасности beeline cloud Егор Бигун, основатель ScanFactory Владимир Иванов и руководитель направления анализа защищенности Compliance Control Евгений Кудашов.
Спрос на услугу
Открывая вебинар, модератор – руководитель по сопровождению продуктов кибербезопасности beeline cloud Александр Митусов – отметил, что в последнее время увеличился спрос на услуги пентестеров и попросил собеседников назвать основные предпосылки очевидного тренда.
По мнению Евгения Кудашова, причин несколько. Первая – цифровизация всего. Переводимые в цифровой формат данные нужно защищать. Вторая – геополитическая обстановка. У злоумышленников возрос интерес в России. Третья – требование регуляторов проводить тесты на проникновение. Общая рыночная тенденция заключается в том, что безопасности уделяется все большее внимание, состояние дел в данной сфере стараются проверять проактивно, а не после инцидента.
Значение превентивного внимания к безопасности отметил Владимир Иванов. За последние несколько лет представители бизнеса и ИБ-подразделений осознали, что нужно вкладываться в анализ защищенности инфраструктуры. Заблуждение, что ИБ не приносит денег, поэтому и не стоит нести расходы.
«А будет ли плохо?»
По мнению модератора, ИБ сродни маркетингу – «черная дыра», в которую сливаются деньги и невозможно «получить выхлоп». «Сейчас все хорошо, потратил энное количество рублей – все так же хорошо. А будет ли плохо – неизвестно», – попытался подлить масла в огонь разговора Александр Митусов.
Формированию запросов на пентесты способствуют информационный фон, сообщения СМИ, считает Егор Бигун. Недавние громкие инциденты в сфере ИБ показали, что не только компания, но и потребители услуг ощутили на себе серьезные последствия (посылку получить невозможно, вылететь проблематично из-за коллапса в аэропорту и т. д.). Владельцы бизнеса на заседаниях советов директоров задаются вопросом – а с нами такое может произойти? Задачи спускаются на исполнителей, которые и обращаются к услугам пентестеров.
Поиск уязвимостей
Что представляет собой классический пентест, в чем его отличие от анализа защищенности, услуг консалтинга? С таким вопросом модератор обратился к собеседникам.
По словам Евгения Кудашова, классический пентест (применительно к внешнему периметру) – это поиск уязвимостей. Задача пентестера – проникнуть во внутреннюю сеть или получить доступ к критичным данным. Для этого нужно найти вектор, воспользовался им и реализовать уязвимость.
Анализ защищенности – более широкое понятие. Здесь также стоит цель на проникновение, но с помощью большего числа векторов. Задача специалистов – «подсветить» не только критические уязвимости, но и риски среднего, низкого уровней, обратить внимание заказчика на проблемы с конфигурацией и т. д. Поэтому и отчеты по результатам выполненных работ различаются. Одни заказчики заинтересованы с помощью пентестов выявить наиболее критичные проблемы, другие просят указать все имеющиеся слабые звенья.
От тестирования к управлению
На рынке есть продукты, предназначенные для управления уязвимостями. Когда следует переходить от пентестов к управлению уязвимостями? С чего начинать – с анализа защищенности приложений, инфраструктуры, выполнения внешнего пентеста?
Пентест – это, как правило, ежегодная процедура (редко выполняется дважды в год), в рамках которой выясняется, как злоумышленник может проникнуть в компанию, пояснил Владимир Иванов. Управление уязвимостями – процесс, а не разовая операция. Организуется управление на постоянной основе: проводятся сканирование, верификация результатов, ставятся задачи на устранение проблем и проверяется, насколько удалось снизить риски благодаря выполняемой на протяжении года работе.
Начинать эксперт рекомендует с пентеста как отправной точки. Это поможет понять состояние системы и определить дальнейшие шаги по приведению инфраструктуры в желаемое безопасное состояние. Если пентест пройден, стратегия намечена, можно выстраивать процесс управления уязвимостями. К слову, это старейший процесс обеспечения безопасности. В меню услуг, предлагаемых службами ИБ, сканеры появились одними из первых.
Как понять, что пришла пора заказать пентест, – очередной вопрос модератора. По мнению Егора Бигуна, заказывать пентест нужно при выходе релиза нового приложения. Эффективно провести проверку бизнес-логики написанного разработчиками приложения не помогут автоматизированные средства. В этом нет равных опытному пентестеру, который сталкивался с большим разнообразием векторов уязвимостей. К пентесту как инструменту прибегают и в случае миграции. Эксперт сравнил эту процедуру с термометром, позволяющим измерить температуру «здесь и сейчас», чтобы сделать выводы для последующего лечения.
Инвентаризация и «теневые активы»
Пентест используется по ситуации, исходя из конкретной задачи. А к процессу управления уязвимостями следует приступать «вчера», поскольку для него нет задачи – он просто должен быть вне зависимости от объема инфраструктуры. Начинать выстраивать управление уязвимостями Егор Бигун рекомендует с инвентаризации, выполнить которую помогают инструменты для анализа защищенности.
С этой точкой зрения согласен Владимир Иванов. Инвентаризация помогает обнаружить и «теневые активы», о наличии которых компания не догадывается, а они «светятся» в Интернете. Важно своевременно находить такие активы, чтобы реагировать на новые события сразу, а не через год, когда через них уже что-то поломали.
По словам экспертов, последние громкие инциденты были связаны именно с «теневыми активами». Еще один тренд указывает на то, что предпосылками большинства утечек служат пароли администратора, которые появляются в Даркнете и являются для злоумышленников ключом для входа в «админку». И тогда не играет особой роли то, что приложение, например, как следует защищено, безопасно и проверено: многое доступно через утекший пароль.
По мнению Евгения Кудашова, иногда пентест проводят, чтобы обосновать руководству необходимость выделения средств на СЗИ, инвентаризацию приложений и т. п.
Для российского сегмента ИБ инвентаризация – больная тема. Многие заказчики действительно не знают о принадлежащих им внешних активах. В рамках одного из базовых пентестов специалисты обнаружили, что на одном из десяти полученных для входа IP-адресов висела IP-камера в салоне красоты без пароля. Выяснилось, что к заказчику она не имела отношения.
ИТ-ландшафт быстро меняется, в том числе из-за облаков. Поэтому эксперты отмечают, что грамотно выполненная инвентаризация поможет «закрыть» половину возможных проблем. Часть имеющих ресурсов просто не нужна.
Важно отслеживать изменения в рамках активов, пытаться найти дополнительные активы в своем адресном пространстве. По словам экспертов, после инвентаризации проще управлять ресурсами, контролировать пароли, наводить порядок в локальных учетных записях и т. д.
Вопрос цены и качества
Пентест не может быть дешевым (100–200 тыс. руб.), хотя на такие процедуры поступает больше всего запросов – очередной вопрос модератора. По мнению Евгения Кудашова, вопрос качества выполненной работы. Многое зависит от области тестирования и размеров организации. В крупной организации и набор проверок, и длительность работы соответствующие.
Эксперты обсуждали вопрос, что лучше – обучить своего пентестера или выбрать специалиста на рынке? Владимир Иванов отметил преимущества и риски каждого варианта. Растишь своего и рискуешь тем, что он уйдет. Не менее актуален вопрос, как он будет справляться с возрастающей нагрузкой. Нанимаешь несколько джунов, риски раскладываешь между ними, обучаешь их по разным направлениям, общая экспертиза в таком случае будет весомее. Кроме того, их можно менять местами, дообучать.
Решение для галочки
Отмечая растущий спрос на пентесты, эксперты обмолвились, что наблюдается и такое явление, как пентесты «для галочки» («подпишем отчет, положим, придет регулятор, покажем»). В частности, это имеет место в финансовом секторе. Некоторые заказчики воспринимают пентест как обузу, то, что надо сделать, и при этом желательно ничего не обнаружить (потому что надо будет потом отчитываться).
Среди сотрудников ИБ распространено мнение, что их компания не представляет интереса для злоумышленников. Однако первый же инцидент убеждает их в обратном.
Факты и аргументы
Специалистам по ИБ по-прежнему непросто аргументировать руководству необходимость выделения бюджетов на обеспечение безопасности. Бизнес зачастую не понимает, за что он будет платить деньги, поскольку трудно оценить риски, связанные с ИБ, и затраты на то, как эти риски нивелировать.
В таких случаях особенно важно не только хорошо выполнить техническую работу, но и оформить полученные результаты. Например, не стоит ограничиваться фразой в отчете, что в ходе внешнего пентеста получен доступ к системе видеонаблюдения. Следует указать, что это дает возможность не только видеть происходящее на производстве, но и слышать разговоры, которые ведутся едва ли не в кабинете руководителя, удалять архивы и т. п. И тогда понятно, какие возможности открываются для злоумышленника. Но для этого сухой язык технического отчета стоит перевести на язык, понятный членам совета директоров, и презентовать руководству полученные результаты.
Доступные варианты
По словам Владимира Иванова, суть безопасности – управление рисками. Приходится тратить деньги, чтобы снизить высокие риски. А если деньги уже потрачены, то не стоит забывать, что в каждом классе решений имеются аналоги, доступные почти бесплатно.
Можно направить сотрудника, готового научиться, на бесплатные курсы по тому, как ломать уязвимые машины. Есть доступные инструменты, которые позволяют автоматизировать выполнение необходимых действий, например, по расписанию запускать сканер.
Еще один вариант – прибегнуть к услугам студентов, которым интересно справиться с такой задачей и приобрести опыт. Они приложат свои знания в сочетании с энтузиазмом, принесут пользу, и организация получит результат. Многие заказчики пользуются оупенсорсными решениями.
Так что инструменты бесплатные есть, нет бесплатных сотрудников. А деньги, как известно, не всегда гарантируют качество.
