Компании 20 декабря 21:03

Эксперты группы ЛАНИТ рассказали о возможностях пентестов

В настоящее время практически все бизнес-процессы происходят в интернет-пространстве, что приводит к росту рисков информационной безопасности. За 2022 год в 10 раз возросло количество кибератак на компании из разных отраслей. 

Директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин рассказал, что в процессе аудита безопасности важную роль играет пентест ― услуга, дающая возможность обнаружить недостатки в организации безопасности заказчика и выстроить последовательность дальнейших действий.

В общем смысле, пентест — это имитация кибератаки или действий злоумышленника, целью которых является получение доступа к информации, а также к эксплуатации информсистем. Пентесты разделяются на внутренние и внешние. Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов добавил, что в процессе тестирования специалисты компании проводят пассивную разведку внешней инфраструктуры заказчика и выявляют ее уязвимости. После чего осуществляется проверка внутренних сервисов и корпоративной сети на наличие различных недостатков.

По подходу к тестированию пентесты делятся на три типа: “черный”, “серый” и “белый” ящики. Эти сценарии различаются объемом информации об инфраструктуре компании, который первоначально доступен пентестерам.

Руководитель службы информационной безопасности компании “Онланта” Мурад Мустафаев отметил, что сейчас пентесты пользуются большим спросом среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Как правило для проверки защищенности своих информационных систем, госструктуры заказывают тестирование по типу “серого ящика”: поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Мурад Мустафаев уточнил, что примерно 85% взломов проходят именно через социальную инженерию, поскольку сотрудники плохо осведомлены о политиках информационной безопасности. По этой причине заказчики просят провести работу и обучение по социальной инженерии с сотрудниками организации.

Важной проблемой также являются веб-уязвимости. Илья Завьялов утверждает, что в ряде компаний недостаточно развита культура безопасной разработки интернет-сервисов и приложений. Так, в некоторых случаях запуск в общий доступ или обновление продукта не сопровождается его аудитом, что повышает вероятность утечек исходных кодов и сохраненных паролей.

Еще один способ проникновения во внутреннюю инфраструктуру компании — инсайдерские угрозы. Крупные компании часто пользуются услугами сторонних организаций для установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ― заметил Илья Завьялов.

Помимо этого, согласно данным “Информзащиты”, отечественные компании недостаточно внимания уделяют обеспечению безопасности внутренней инфраструктуры.

Еще одна распространенная причина уязвимостей — возможность удаленного выполнения кода за счет сервиса SMB (сетевого протокола для удаленного доступа к сетевым ресурсам), а также слабая парольная политика. Сотрудники большой компании используют ip-камеры наблюдения, принтеры, которые поддерживают авторизацию Microsoft, и при этом часто не контролируются сотрудниками ИБ. Для кибератаки злоумышленнику достаточно знать стандартный пароль этих устройств, обеспечивающий доступ к учетным данным доменных пользователей.

Как правило пентесты проводятся в ручном режиме, однако все чаще у компаний возникает запрос на автоматизацию процесса тестирования — внедрение систем   непрерывного мониторинга и запуска пентестов. Николай Фокин уверен, что спрос на автоматизацию пентестов является следствием роста количества кибератак, а также постоянного изменения и усложнения инфраструктуры на фоне кадрового дефицита.

Самыми популярными считаются системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS), создающие имитацию взломов и атак одновременно по множеству направлений. Одним из таких решений является платформа автоматизированного тестирования на проникновение — PenTera, которая с помощью искусственного интеллекта может моделировать мышление и поведение хакера. Николай Фокин добавил, что полностью заменить потенциального взломщика системы пентеста пока не способны, однако машинные алгоритмы платформ позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности, повышая скорость охвата инфраструктуры, а также исключая ошибки, связанные с человеческим фактором.

Компания “ЛАНИТ-Интеграция” реализовала успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, включая системы IoT.