От аудита до комплексной защиты: как пентесты и киберучения формируют стратегию информационной безопасности

Рассказывает Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион».

— Какие задачи решает аудит информационной безопасности и чем он отличается от анализа защищенности?

И аудит информационной безопасности, и анализ защищенности — разновидности так называемой наступательной кибербезопасности (Offensive Security) — направления ИБ, связанного с проактивным выявлением и эксплуатацией уязвимостей в информационных системах.

Цель аудита — проверить, насколько информационная система (ИС) или ее компоненты соответствуют регуляторным требованиям (ФСТЭК, ЦБ РФ, Роскомнадзора), лучшим практикам (например, CIS Banchmark) или рекомендациям нормативов и стандартов (например, PCI DSS). Аудит проводится как в режиме тестирования на проникновение, так и в формате проверки по чек-листу. Результат аудита вписывают в аудиторское заключение, которое представляет собой ответ на вопрос, насколько система соответствует требованиям. Если это аудит по требованию регулятора, то заключение составляется в утвержденной им форме.

Наиболее простой пример: аудит на соответствие требованиям PCI DSS — стандарту безопасности данных платежных карт, учрежденному популярными международными платежными системами. Он устанавливает требования к информационной безопасности для сервисов, принимающих платежные карты, и позволяет оценить степень защиты данных на этих картах (имя держателя, номер карты, данные магнитной полосы, данные чипа и пр.).

Цель анализа защищенности — проверить, насколько защищена информационная система по инициативе ее владельца. Проводится в формате тестирования на проникновение. В процессе тестов имитируются действия злоумышленников, которые пытаются проникнуть в систему разными путями: через взлом программного обеспечения, получение физического доступа в офисы, серверные, рассылка, атака на внешний сетевой периметр и т. д. Анализ защищенности проводится с применением компьютерных атак, в том числе методами социальной инженерии. По результатам анализа защищенности формируется отчет в свободной форме.

— Какие ключевые показатели эффективности используют для оценки результатов пентеста?

1. Общее количество обнаруженных уязвимостей с разделением на уровни критичности в процентах: высокий, средний, низкий. Вычисляется по стандартизированной шкале CVSS (Common Vulnerability Scoring System).
2. Время, затраченное на обнаружение уязвимостей.
3. Субъективная оценка пентестерами эффективности средств защиты, с которыми пришлось встретиться в процессе пентеста (насколько легко их было обойти, как они «сопротивлялись»).
4. Уровень ИБ-осведомленности персонала со стороны заказчика пентеста. Оценка происходит с помощью инструментов: социальной инженерии, различного рода рассылок. Заказчик получает информацию о том, какой процент его персонала недостаточно осведомлен о поддержке безопасности. Даже один человек может поспособствовать реализации атаки злоумышленником.

— В чем заключается разница между командами киберучений? Как они взаимодополняют друг друга?

Принцип взаимодействия команд на киберучениях пришел из военной отрасли, где во время учений одна команда нападала, другая — защищалась. Сейчас в ИБ существует несколько команд, называемых в форме прилагательных, обозначающих цвета (синие, красные) или расположение команды относительно периметра информационной системы (внутренние, внешние). Основными командами являются Красная команда (Red Team) и Синяя команда (Blue Team). Первые ориентированы на наступательную безопасность, они моделируют возможные атаки злоумышленников. Вторые сосредоточены на обороне, они проектируют и поддерживают защитную внутреннюю инфраструктуру в рамках кибербезопасности.

В подобных игровых киберучениях ставится несколько целей, например, получить доступ к определенной системе или данным, выполнить демонстрационный перевод денежных средств — всего от 5 до 10 целей, на достижение которых выделяется время, например, месяц. Красные пытаются их достичь, синие — всячески этого не допустить. Взаимодействия между ними нет, взаимодополнения тоже, а все обсуждения происходят постфактум. Основной смысл игры — оценить скорость реакции команды реагирования, синих, и понять, какие тактики и техники красных они заметили, а какие — нет.

Но есть еще и фиолетовые команды (Purple Team). Это объединение синих и красных, нацеленное как на нападение, так и на оборону. Фиолетовые были разработаны для обеспечения синергетических операций, обмена информацией между «нападающими» и защитниками компании. В процессе таких учений между командами ведется постоянное взаимодействие: красные проводят атаку и спрашивают синих, видят ли они ее. Если синие не видят — проводится настройка средств защиты. После — красные снова проводят эту же атаку и спрашивают синих. Это происходит до тех пор, пока синие не научатся детектировать определенную технику красных. Таким способом заказчик может не только проводить учения, но и проверять эффективность работы своего центра мониторинга информационной безопасности (SOC).

— Какие элементы обязательны для построения комплексной системы защиты ИБ на основе результатов аудита и пентеста?

Состав внедряемых в компании средств защиты информации всегда зависит от результатов пентеста или аудита. Иногда может быть достаточно донастройки имеющихся СЗИ или операционных систем. Иногда требуется расширение парка СЗИ такими классами решений, как DCAP, SIEM, EDR, XDR или даже Security Awareness. Выбор этих средств зависит от целей компании, бюджета, объекта защиты. По результатам аудита обычно составляется модель угроз, модель злоумышленника или модель нарушителя. Затем проводится тестирование возможности реализации той или иной угрозы, по результатам которого определяются необходимые СЗИ.

— Как киберучения помогают выявить уязвимости, которые могут быть упущены при стандартном пентесте?

Киберучения зачастую включают в себя сложный и многоуровневый сценарий атак, которые, как правило, более реалистичны и сложны, чем используемые в рамках стандартного пентеста. Однако задача киберучения состоит не столько в выявлении новых уязвимостей, сколько в оценке способности команды защиты детектировать актуальные атаки и адекватно на них реагировать. Выявление максимального количества уязвимостей — это задача анализа защищенности.

К тому же во время киберучений покрывается далеко не весь ландшафт уязвимостей, поскольку это и не является целью. На учениях обычно красные имитируют какую-то известную современную атаку с применением актуальных техник, а синие пытаются ее обнаружить, чтобы научиться противостоять ей.

— Какие угрозы чаще всего остаются незамеченными при анализе защищенности?

Надо помнить также, что всегда существуют «свежие» уязвимости, о которых еще не существует ни публичной информации, ни стабильных эксплойтов, ни даже инструментов, позволяющих проверить наличие уязвимости без ущерба для инфраструктуры.

Также могут остаться незамеченными те уязвимости, практическая эксплуатация которых требует особых лабораторных условий. Поэтому и пентест, и анализ защищенности — не исчерпывающие методы поиска уязвимостей.

Даже если у специалистов есть доступ к исходным кодам тестируемых сервисов, часто у них может не хватить времени, выделенного в рамках проекта, чтобы этот код качественно проверить. По этой причине некоторые уязвимости могут также остаться незамеченными.

— Как изменился подход к проведению обследования ИБ в современных условиях?

При тенденции к импортозамещению в России все больше ИС переводится на технологии с открытым исходным кодом, которые, в частности, базируются на Linux. Это требует особого подхода к ИБ-проверке, которая у Linux-систем заметно отличается от Windows-систем. Проверка служб каталогов OpenLDAP и FreeIPA тоже заметно отличается от привычной Active Directory. То есть, произошел сдвиг некоторых технологий в сторону открытых, требующих не только других инструментов, но и в целом другого взгляда на информационную систему.

Набирает популярность и использование средств автоматизации пентестов с помощью машинного обучения (такие, как, например, платформа моделирования прорыва и атаки Branch Attack Simulation). Для нас, пентестеров, они в чем-то конкуренты, однако вдумчивую «ручную» проверку опытными специалистами пока еще невозможно полноценно заменить.

Все больше сервисов сейчас упаковывается в так называемые контейнеры — это сформировало отдельный класс специалистов по тестированию, и их востребованность увеличивается в силу того, что растет число контейнеризированных систем.

Принципиально новых в техническом смысле атак в последнее время не появляется, поэтому методы работы с ними в целом все те же. Отличается только направленность. Например, сейчас «популярна» уязвимость в почтовом сервисе Exchange, и мы тоже первым делом обращаем на нее внимание. Через пару месяцев все поставят обновление, и это будет неактуально. Если говорить про инфраструктуру, то в последние два-три года были актуальны атаки на центры сертификации. Сейчас они постепенно сходят на нет, а появляются атаки на среду управления инфраструктурой. Изменения такого рода происходят постоянно, мы всегда держим руку на пульсе.

Основные изменения сейчас связаны не с подходами к атакам, а с используемым заказчиками новым парком технологий для внешнего и внутреннего периметра ИС, к которым надо придумывать новые ИБ-подходы. Из-за непопулярности этих технологий в недавнем прошлом никто особо не задумывался об их безопасности. Если у той же Active Directory открыты десятки уязвимостей, то у FreeIPA их можно перечесть по пальцам одной руки. Но это не потому, что она такая защищенная, а потому, что недообследованная.

— Какие технологии и методологии чаще всего применяются при моделировании угроз в рамках анализа защищенности?

При анализе защищенности в основном используют OWASP, NIST, PTES, OSSTMM, а также методологии, созданные путем оптимизации и адаптации техник, описанных в этих документах. Например, тактики и техники для проектов по киберучениям моделируют на основе матрицы MITRE ATT&CK, а работу с последствиями этих атак строят на матрице по защите DEFEND. Это международные методологии. К сожалению, отечественных, принятых на федеральном уровне методологий пока не существует — и это большая проблема для сферы безопасности. Мы и коллеги из других компаний создаем свои методологии на основе известных международных, оптимизируя их, так как некоторые аспекты западных разработок в отношении ИБ для нас просто неактуальны. Например, многие ИБ-подходы в международных методологиях связаны с проверкой систем, расположенных в облачных инфраструктурах Azure или Amazon, которые в России не используют.

— Какие ключевые шаги нужно предпринять для обеспечения готовности компании к полномасштабным киберучениям?

Для киберучений прежде всего должны быть разработаны процессы и процедуры по обнаружению инцидента и реагированию на него. Далее необходимы разработанные и согласованные сценарии проведения учений. Например, известно, что тестирование КИИ-инфраструктуры необходимо проводить только на макете.

Далее необходимо подготовить и саму инфраструктуру к проведению этих киберучений, а именно — убедиться, что в случае нарушения доступности каких-то сервисов, их можно будет оперативно восстановить. Для этого, в первую очередь, важно иметь актуальные резервные копии.

Резюмируем: проведение киберучений должно быть формализовано, разработаны сценарии и подготовлена инфраструктура.

— Как интегрировать результаты Red Team в стратегическое планирование и долгосрочное укрепление системы защиты организации?

Прежде всего, стоит провести качественный анализ полученных результатов, а именно — определить критичность каждой обнаруженной уязвимости, провести их классификацию (в этом может помочь шкала CVSS). Затем на основе потенциального воздействия и вероятности эксплуатации надо установить приоритеты для устранения этих уязвимостей, начиная с наиболее критичных. После анализа, классифицирования и приоритезирования надо разработать план общих действий по улучшению ИБ-климата в компании также в порядке приоритета. Например, внедрение новых технологий или обучение персонала можно отложить, а вот закрывать критическую уязвимость необходимо сразу. После разработки плана действий надо будет обновить политики и улучшить процедуры реагирования на инциденты, чтобы они были более эффективными и оперативными, а также оценить финансовые затраты на укрепление защиты, запланировать проведение регулярных оценок того, насколько эффективны внедренные меры. В заключение надо провести ретесты, желательно в том же формате, в котором проводили тестирования.

Мы помогаем нашим заказчикам: уже в отчете по результатам пентеста проводим оценку критичности проблем, даем рекомендации в порядке приоритета, готовы дать консультацию по поводу того, чего сейчас не хватает в инфраструктуре для обеспечения ИБ.

В заключение хотелось бы добавить, что при формировании стратегии ИБ важно совмещать оборонительный подход, который позволяет защититься от известных угроз, с наступательным подходом, позволяющим более релевантно выполнять настройки средств защиты и адаптировать их под актуальные угрозы. Именно это позволит стратегии быть полноценной и учесть большинство возможных ИБ-рисков.