`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Тест на проникновение становится необходимостью

+22
голоса

Инциденты информационной безопасности могут привести к приостановке обслуживания клиентов или разглашению их персональных данных, что в условиях высокой конкуренции неизбежно повлечет за собой прямые убытки и репутационные издержки. Уверенность в адекватной защите информационных активов компании может дать аудит защищенности инфосистем.

Кибератаки наносят огромный ущерб во всех отраслях экономики, по оценкам McAfee, совокупные потери достигают $1 трлн в год. Украина удерживает 4-е место в мире по числу вторжений — около 560 тыс в год, причем с момента начала атаки до ее обнаружения как правило проходит около полугода, а средний ущерб от вторжения составляет $200 тыс. Одновременно технологии реализации атак становятся все доступнее, а новые уязвимости, в том числе критические, обнаруживаются в самых популярных приложениях, по данным в GFI в 2013 г. было выявлено 4794 новых эксплоитов — максимум за последние пять лет. Как сообщает NSS Labs, с 2010 г. вшестеро выросло число уязвимостей в ИТ-системах, обслуживающих критические объекты инфраструктуры (газотранспортную систему, водопроводные сети, электросети).

Любая ИТ-система строится таким образом, чтобы быть наименее уязвимой к атакам и утечкам данных, тем не менее, проверить устойчивость можно только на практике — с помощью тестов на проникновение, которые предусматривают выявление уязвимостей и проведение контролируемых атак на основе методологии этического хакинга.

Аудит информационных систем начинается со сканирования стандартными инструментами, как правило — не одним, поскольку они имеют разную чувствительность к разного рода угрозам. Этот этап позволяет определить потенциальные бреши (незалатанные уязвимости ПО, открытые порты, пр.), но не дают представления о том, можно ли воспользоваться ими на практике и эксплуатировались ли они ранее. Далее производится анализ информации, имеющейся в открытом доступе (адреса пользователей, иногда более чувствительная информация, выложенная персоналом), моделируются наиболее вероятные сценарии проведения вторжений (в том числе и DDoS атаки, которые крайне редко реализуются на практике — блокирование бизнес-процессов компании противоречит принципам этического хакинга).

Наиболее трудоемкой частью тестирования на проникновение являются атаки с использованием методов социальной инженерии, когда злоумышленник атакует не саму инфосистему, а имеющего к ней доступ человека. Для успеха таких вторжений специальные технические средства не обязательны — используются человечески слабости, как правило, хорошая история и правильные вопросы при общении с недовольными сотрудниками. Не исключены также поддельные фишинговые рассылки от имени руководителя с просьбой ввести логины\пароли почтовой службы, сообщить данные о клиенте, сведения о сделке и т.п.

Далее выполняются симуляции направленных атак — они позволяют выявить в системе «дыры», появившиеся в результате некорректной настройки, технических ошибок, операционных недостатков в процессах и средствах контроля. Комплексное тестирование охватывает множество векторов: внешние (из интернета, с использованием удаленного доступа) и внутренние (через беспроводное корпоративное соединение, с использованием полномочий гостя, рядового сотрудника, полномочий и знаний сотрудника ИТ департамента — так можно определить, какие роли имеют избыточный доступ к корпоративным данным). Сценарий с использованием «найденного» оборудования сотрудника позволяет оценить риски, связанные с хранением чувствительных данных на персональных устройствах, используемые политики шифрования, пр. Тестирование может быть ограничено отдельными объектами (чаще всего это почтовые сервера, веб-сервера и приложения, беспроводные сети) или охватывать только новые элементы инфраструктуры. Как правило, администраторы ИТ и ИБ подразделений проинформированы о проекте, что позволяет согласовать порядок действий и предотвратить внештатные ситуации. В случае, когда необходимо определить насколько эффективно ИТ подразделение реагирует на вторжение, проводится скрытый аудит — в этом случае внешнему агенту предоставляется только диапазон IР-адресов (чтобы в процессе тестирования не пострадали другие компании).

По статистике украинской компании «Инком», собранной в ходе реализации проектов, при тестировании на проникновение в 50% случаев удалось получить доступ к веб-сайту, в 40% — доступ к почте, в 35% — к бизнес-приложениям, в 29% — к системе банковского обслуживания, 10% — к IP телефонии. Полный контроль над инфраструктурой был захвачен в 25% проектов, и только в 5% — вообще не удалось преодолеть периметр. В пятерку наиболее популярных эксплоитов входят: межсетевое выполнение сценариев (50%), наличие интерфейсов удаленного управления (47%), доступная информация о приложениях (45%), внедрение SQL кода (63%). Ну а самой популярной уязвимостью стали простые пароли администраторов — они были обнаружены в 80% проектов, порой даже в тех случаях, когда в организации были внедрены политики в отношении сложности паролей рядовых пользователей.

Именно подбор паролей дал возможность экспертам проникнуть в систему в 70% проведенных проектов, уязвимости веб-приложений и некорректно настроенное оборудование несут значительно меньшие риски и стали ключом ко взлому соответственно в 46% и 38% случаев. Отсутствие обновлений способствовало успешному проведению тестовых атак в 25% компаний, а недостатки архитектуры— в 9%.

Как правило, аудит инфобезопасности занимает 20-30 дней, большая часть из которых приходится на подготовку и тестирование методами социальной инженерии; стоимость услуг зависит от масштабов инфраструктуры, объектов тестирования, модели злоумышленника, и в среднем составляет $40 тыс. Тест на проникновение наиболее востребован в финансовом секторе, что связано с регламентом PCI DSS v. 2.0. Тем не менее, оценка защищенности информационных систем может потребоваться компании любого размера и любой отрасли — все зависит от того, насколько велик потенциальный ущерб от кражи данных или блокирования деятельности компании. Помимо основных целей, аудит может оказаться эффективным инструментом получения бюджетов на ресурсоемкие проекты — руководители намного охотнее выделяют средства на уже обнаруженные проблемы, а не на гипотетические риски.

Юрий Лысаков, старший консультант отдела ИТ-консалтинга, «Инком». «Во многих крупных компаниях ИТ и ИБ подразделения регулярно проводят проверки системы инфобезопасности, но не секрет, что свои ошибки найти труднее всего. Тем более (из нашего опыта) что значительные недоработки встречаются крайне редко — как правило, уязвимости являются следствием целой цепочки мелких погрешностей администраторов. Поэтому для объективной и беспристрастной оценки инфобезопасности компании лучше обратиться к внешним экспертам».

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT