17 апреля Отраслевой учебный центр по информационной безопасности ЦИБИТ провел вебинар, посвященный новым методическим рекомендациям Центрального банка (ЦБ) по проведению тестирования на проникновение и анализа уязвимостей. Спикеры обсудили последние изменения в нормативной базе, регулирующей вопросы информационной безопасности в банковской сфере, и рассмотрели ключевые положения рекомендаций.
Что изменилось в требованиях Центрального банка?
Как рассказал Александр Виноградов, эксперт в области информационной безопасности и старший научный сотрудник ФГУП «ЦНИИХМ», 22 января 2025 г. ЦБ ввел новые методические рекомендации № 2-МР, касающиеся, в частности, сферы ИБ. Основные нововведения связаны с тестированием на проникновение (пентестом) и охватывают четыре ключевых направления.
- Усиление акцента на регулярность и комплексность
Банки должны обеспечить постоянный мониторинг и тестирование, охватывающее все критические системы и процессы. Это подразумевает более частые циклы тестирования. Комплексность означает, что тестирование должно учитывать и внутренние, и внешние угрозы, а также охватывать все слои защиты.
- Более четкое определение объектов тестирования
Теперь ЦБ конкретизирует, какие именно системы, приложения, сервисы и процессы должны подвергаться тестированию. Это помогает снизить риски упущений и обеспечить более полное покрытие критической инфраструктуры. «Если ранее мы сами выбирали элементы информационной инфраструктуры, по которым необходимо проводить пентест, то сейчас ЦБ четко обозначил: web-приложения, мобильные приложения, специальные клиентские приложения», – пояснил спикер.
- Повышение требований к квалификации специалистов
Банки должны убедиться, что специалисты по информационной безопасности, проводящие пентесты, обладают необходимыми знаниями и опытом. Это направлено на повышение качества и надежности тестирования, а также на минимизацию формального подхода «для галочки».
Евгения Колодина, первый заместитель генерального директора ЦИБИТ, отметила, что в обновленных методических рекомендациях указано:
«Для проведения тестирования на проникновение рекомендуется выделить отдельное структурное подразделение или не менее двух штатных сотрудников с опытом проведения пентестов от трех лет».
Кроме того, привлекаемые специалисты не должны участвовать в проектировании, внедрении или оценке соответствия системы защиты информационной инфраструктуры.
- Более детальные требования к отчетности
Отчетность по результатам пентестов и анализа уязвимостей должна быть более подробной и содержательной. Это включает в себя детальное описание обнаруженных уязвимостей, оценку их рисков, рекомендации по устранению и подтверждение эффективности принятых мер.
Кроме того, в методических рекомендациях указано, что перед проведением тестирования на проникновение и анализа уязвимостей необходимо актуализировать следующие документы: техническое задание на проведение тестирования, соглашение об ответственности сторон при проникновении и анализе уязвимостей, модель угроз по методике, утвержденной ФСТЭК и план установления операционной надежности
Выбор между внутренним и внешним пентестами
При проведении пентеста перед банком встает важный вопрос: доверить тестирование внутренней команде или привлечь внешнего подрядчика? Многие кредитные организации имеют собственные «прикормленные» команды, которые хорошо знакомы с инфраструктурой и процессами. Однако есть и альтернатива – нанять независимых специалистов. Оба подхода обладают своими преимуществами и недостатками, и окончательный выбор зависит от ресурсов, целей и возможностей компании.
Главное преимущество внутреннего тестирования – глубокая осведомленность команды о системе. Сотрудники, ежедневно работающие с инфраструктурой, могут быстрее выявить скрытые уязвимости. Кроме того, такой подход обеспечивает полный контроль над процессом и гибкость в проведении проверок. В долгосрочной перспективе постепенное накопление экспертизы внутри компании повышает уровень кибербезопасности.
Однако у этого метода есть и существенные недостатки. Во-первых, содержание собственной команды пентестеров требует значительных затрат. Во-вторых, внутренние ресурсы могут быть ограничены, что снижает глубину проверки. Наконец, «замыленность взгляда»: сотрудники, привыкшие к системе, могут упускать очевидные уязвимости.
Внешний подрядчик позволяет получить независимую и непредвзятую оценку безопасности. Такие специалисты обладают широким опытом работы с разными системами и могут применить новые методы тестирования, недоступные внутренней команде. Это также экономит ресурсы компании, поскольку не требует содержания собственных экспертов.
Тем не менее, у этого подхода есть свои риски. Передача конфиденциальных данных третьей стороне всегда сопряжена с угрозой утечки. Кроме того, банк имеет меньший контроль над процессом тестирования, а сроки и методы работы подрядчика могут не всегда совпадать с ожиданиями заказчика.
Определившись с выбором организации, которая будет проводить тестирование, остается вопрос: какой подход выбрать для наиболее эффективного выявления уязвимостей? На него достаточно исчерпывающе ответил Никита Червяков, директор по развитию ЦИБИТ.
Методология пентеста в контексте соответствия методическим рекомендациям ЦБ
При тестировании методом «черного ящика» пентестер изначально располагает лишь той информацией, которая доступна обычному внешнему пользователю. Такой подход максимально приближен к действиям реального злоумышленника, поскольку специалист вынужден искать уязвимости без доступа к внутренним данным системы.
Основное преимущество этого метода заключается в его реалистичности – он позволяет оценить уровень защиты системы именно с точки зрения внешней атаки. Кроме того, подобное тестирование иногда выявляет уязвимости, которые остаются незамеченными при внутреннем анализе, и экономит время на подготовительном этапе, так как не требуется глубокое изучение архитектуры системы.
Однако у метода есть и недостатки. Прежде всего, процесс тестирования оказывается более трудоемким, поскольку специалисту приходится действовать практически вслепую. Кроме того, существует вероятность пропустить критические уязвимости, которые проявляются только при наличии доступа к внутренним компонентам системы.
Наиболее эффективно данный метод применяется для оценки защищенности периметра сети и тестирования систем обнаружения вторжений.
Метод «серого ящика» занимает промежуточное положение между тестированием «вслепую» и полным анализом системы. В этом случае пентестер получает частичную информацию о целевой инфраструктуре, например, знает ее архитектуру, имеет учетные записи с ограниченными правами или доступ к отдельным разделам документации. Такой подход позволяет проводить более осмысленную проверку безопасности, сохраняя при этом элементы неожиданности, характерные для реальных атак.
Главное преимущество данного метода – сбалансированность. Он сочетает реалистичность внешнего тестирования с целенаправленностью внутреннего аудита. Располагая базовой информацией, специалист может эффективнее выявлять уязвимости, не тратя время на обратную разработку системы. При этом сохраняется определенная доля непредсказуемости, что помогает оценить защищенность в условиях, приближенных к реальным.
В данном случае ограничения заключаются в том, что процесс требует предварительной подготовки. Необходимо согласовать объем предоставляемой информации, что может замедлить начало тестирования. Кроме того, существуют риски пропустить важные уязвимости, если они связаны с компонентами системы, о которых пентестер не был проинформирован.
«Серый ящик» считается оптимальным выбором для большинства сценариев тестирования. Он дает возможность комплексно оценить безопасность, охватывая как внешние векторы атак, так и потенциальные угрозы, которые могут исходить от условного инсайдера с ограниченными правами доступа.
Заключительный метод «белого ящика» позволяет пентестеру получить полный доступ к внутренним данным системы: исходному коду, архитектурным схемам, конфигурационным файлам и другой закрытой информации. Это обеспечивает возможность проводить максимально детализированный анализ безопасности на всех уровнях, от кода приложения до инфраструктурных компонентов.
Основное преимущество такого подхода заключается в глубине проверки. Специалисты могут оценить не только поверхностные уязвимости, но и потенциально опасные архитектурные решения, логические ошибки в коде, неоптимальные конфигурации и другие скрытые риски. Особую ценность метод представляет для анализа безопасности на этапе разработки, когда можно оперативно устранить проблемы до выхода продукта в эксплуатацию.
Однако за высокую эффективность приходится платить существенными ресурсными затратами. Процесс требует значительного времени на изучение документации и исходного кода, а также привлечения высококвалифицированных специалистов, способных корректно интерпретировать полученные данные. Кроме того, такой подход менее эффективен для моделирования реальных атак, поскольку злоумышленники редко располагают полной информацией о системе.
Метод «белого ящика» особенно критичен при тестировании особо важных систем, позволяя выявить и устранить риски на самом раннем этапе, обеспечивая максимально возможный уровень защиты.
«На основании таких факторов, как область применения, критичность данных риски и ресурсы, вы можете выбрать наиболее подходящую методологию пентеста, которая позволит вам эффективнее выявить уязвимости и обеспечить соответствие требованиям МР2», – заключил спикер.
- ВКонтакте
- Telegram