ЦИБИТ: как новые требования ЦБ к пентесту повлияли на банковскую сферу

17 апреля Отраслевой учебный центр по информационной безопасности ЦИБИТ провел вебинар, посвященный новым методическим рекомендациям Центрального банка (ЦБ) по проведению тестирования на проникновение и анализа уязвимостей. Спикеры обсудили последние изменения в нормативной базе, регулирующей вопросы информационной безопасности в банковской сфере, и рассмотрели ключевые положения рекомендаций.

Что изменилось в требованиях Центрального банка?

Как рассказал Александр Виноградов, эксперт в области информационной безопасности и старший научный сотрудник ФГУП «ЦНИИХМ», 22 января 2025 г. ЦБ ввел новые методические рекомендации № 2-МР, касающиеся, в частности, сферы ИБ. Основные нововведения связаны с тестированием на проникновение (пентестом) и охватывают четыре ключевых направления.

  1. Усиление акцента на регулярность и комплексность

Банки должны обеспечить постоянный мониторинг и тестирование, охватывающее все критические системы и процессы. Это подразумевает более частые циклы тестирования. Комплексность означает, что тестирование должно учитывать и внутренние, и внешние угрозы, а также охватывать все слои защиты.

  1. Более четкое определение объектов тестирования

Теперь ЦБ конкретизирует, какие именно системы, приложения, сервисы и процессы должны подвергаться тестированию. Это помогает снизить риски упущений и обеспечить более полное покрытие критической инфраструктуры. «Если ранее мы сами выбирали элементы информационной инфраструктуры, по которым необходимо проводить пентест, то сейчас ЦБ четко обозначил: web-приложения, мобильные приложения, специальные клиентские приложения», – пояснил спикер.

  1. Повышение требований к квалификации специалистов

Банки должны убедиться, что специалисты по информационной безопасности, проводящие пентесты, обладают необходимыми знаниями и опытом. Это направлено на повышение качества и надежности тестирования, а также на минимизацию формального подхода «для галочки».

Евгения Колодина, первый заместитель генерального директора ЦИБИТ, отметила, что в обновленных методических рекомендациях указано:

«Для проведения тестирования на проникновение рекомендуется выделить отдельное структурное подразделение или не менее двух штатных сотрудников с опытом проведения пентестов от трех лет».

Кроме того, привлекаемые специалисты не должны участвовать в проектировании, внедрении или оценке соответствия системы защиты информационной инфраструктуры.

  1. Более детальные требования к отчетности

Отчетность по результатам пентестов и анализа уязвимостей должна быть более подробной и содержательной. Это включает в себя детальное описание обнаруженных уязвимостей, оценку их рисков, рекомендации по устранению и подтверждение эффективности принятых мер.

Кроме того, в методических рекомендациях указано, что перед проведением тестирования на проникновение и анализа уязвимостей необходимо актуализировать следующие документы: техническое задание на проведение тестирования, соглашение об ответственности сторон при проникновении и анализе уязвимостей, модель угроз по методике, утвержденной ФСТЭК и план установления операционной надежности

Выбор между внутренним и внешним пентестами

При проведении пентеста перед банком встает важный вопрос: доверить тестирование внутренней команде или привлечь внешнего подрядчика? Многие кредитные организации имеют собственные «прикормленные» команды, которые хорошо знакомы с инфраструктурой и процессами. Однако есть и альтернатива – нанять независимых специалистов. Оба подхода обладают своими преимуществами и недостатками, и окончательный выбор зависит от ресурсов, целей и возможностей компании.

Главное преимущество внутреннего тестирования – глубокая осведомленность команды о системе. Сотрудники, ежедневно работающие с инфраструктурой, могут быстрее выявить скрытые уязвимости. Кроме того, такой подход обеспечивает полный контроль над процессом и гибкость в проведении проверок. В долгосрочной перспективе постепенное накопление экспертизы внутри компании повышает уровень кибербезопасности.

Однако у этого метода есть и существенные недостатки. Во-первых, содержание собственной команды пентестеров требует значительных затрат. Во-вторых, внутренние ресурсы могут быть ограничены, что снижает глубину проверки. Наконец, «замыленность взгляда»: сотрудники, привыкшие к системе, могут упускать очевидные уязвимости.

Внешний подрядчик позволяет получить независимую и непредвзятую оценку безопасности. Такие специалисты обладают широким опытом работы с разными системами и могут применить новые методы тестирования, недоступные внутренней команде. Это также экономит ресурсы компании, поскольку не требует содержания собственных экспертов.

Тем не менее, у этого подхода есть свои риски. Передача конфиденциальных данных третьей стороне всегда сопряжена с угрозой утечки. Кроме того, банк имеет меньший контроль над процессом тестирования, а сроки и методы работы подрядчика могут не всегда совпадать с ожиданиями заказчика.

Определившись с выбором организации, которая будет проводить тестирование, остается вопрос: какой подход выбрать для наиболее эффективного выявления уязвимостей? На него достаточно исчерпывающе ответил Никита Червяков, директор по развитию ЦИБИТ.

Методология пентеста в контексте соответствия методическим рекомендациям ЦБ

При тестировании методом «черного ящика» пентестер изначально располагает лишь той информацией, которая доступна обычному внешнему пользователю. Такой подход максимально приближен к действиям реального злоумышленника, поскольку специалист вынужден искать уязвимости без доступа к внутренним данным системы.

Основное преимущество этого метода заключается в его реалистичности – он позволяет оценить уровень защиты системы именно с точки зрения внешней атаки. Кроме того, подобное тестирование иногда выявляет уязвимости, которые остаются незамеченными при внутреннем анализе, и экономит время на подготовительном этапе, так как не требуется глубокое изучение архитектуры системы.

Однако у метода есть и недостатки. Прежде всего, процесс тестирования оказывается более трудоемким, поскольку специалисту приходится действовать практически вслепую. Кроме того, существует вероятность пропустить критические уязвимости, которые проявляются только при наличии доступа к внутренним компонентам системы.

Наиболее эффективно данный метод применяется для оценки защищенности периметра сети и тестирования систем обнаружения вторжений.

Метод «серого ящика» занимает промежуточное положение между тестированием «вслепую» и полным анализом системы. В этом случае пентестер получает частичную информацию о целевой инфраструктуре, например, знает ее архитектуру, имеет учетные записи с ограниченными правами или доступ к отдельным разделам документации. Такой подход позволяет проводить более осмысленную проверку безопасности, сохраняя при этом элементы неожиданности, характерные для реальных атак.

Главное преимущество данного метода – сбалансированность. Он сочетает реалистичность внешнего тестирования с целенаправленностью внутреннего аудита. Располагая базовой информацией, специалист может эффективнее выявлять уязвимости, не тратя время на обратную разработку системы. При этом сохраняется определенная доля непредсказуемости, что помогает оценить защищенность в условиях, приближенных к реальным.

В данном случае ограничения заключаются в том, что процесс требует предварительной подготовки. Необходимо согласовать объем предоставляемой информации, что может замедлить начало тестирования. Кроме того, существуют риски пропустить важные уязвимости, если они связаны с компонентами системы, о которых пентестер не был проинформирован.

«Серый ящик» считается оптимальным выбором для большинства сценариев тестирования. Он дает возможность комплексно оценить безопасность, охватывая как внешние векторы атак, так и потенциальные угрозы, которые могут исходить от условного инсайдера с ограниченными правами доступа.

Заключительный метод «белого ящика» позволяет пентестеру получить полный доступ к внутренним данным системы: исходному коду, архитектурным схемам, конфигурационным файлам и другой закрытой информации. Это обеспечивает возможность проводить максимально детализированный анализ безопасности на всех уровнях, от кода приложения до инфраструктурных компонентов.

Основное преимущество такого подхода заключается в глубине проверки. Специалисты могут оценить не только поверхностные уязвимости, но и потенциально опасные архитектурные решения, логические ошибки в коде, неоптимальные конфигурации и другие скрытые риски. Особую ценность метод представляет для анализа безопасности на этапе разработки, когда можно оперативно устранить проблемы до выхода продукта в эксплуатацию.

Однако за высокую эффективность приходится платить существенными ресурсными затратами. Процесс требует значительного времени на изучение документации и исходного кода, а также привлечения высококвалифицированных специалистов, способных корректно интерпретировать полученные данные. Кроме того, такой подход менее эффективен для моделирования реальных атак, поскольку злоумышленники редко располагают полной информацией о системе.

Метод «белого ящика» особенно критичен при тестировании особо важных систем, позволяя выявить и устранить риски на самом раннем этапе, обеспечивая максимально возможный уровень защиты.

«На основании таких факторов, как область применения, критичность данных риски и ресурсы, вы можете выбрать наиболее подходящую методологию пентеста, которая позволит вам эффективнее выявить уязвимости и обеспечить соответствие требованиям МР2», – заключил спикер.

 

 

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее