А ну його, ваш пентест


В області інформаційної безпеки постійно щось відбувається — вона розвивається, з’являються нові засоби захисту, які, якщо вірити їх опису, вміють все. Жоден хакер не зможе прорватися крізь них у вашу інформаційну систему і зробити свої темні хакерські справи. Коли читаєш про сучасні SIEM і anti-apt рішення, прямо гордість бере за то, як стало все просто у світі інформаційної безпеки – постав собі заліза і софта на кілька мільйонів, і буде тобі щастя, найми парочку співробітників, щоб стежити за цим «зоопарком», — і взагалі ідеально. Приблизно так думає більшість керівників компаній, адміністраторів безпеки та менеджерів з продажу цих новомодних рішень.

І в принципі казка-то майже реальна. Машинне навчання, інтеграція з хмарою, постійне поповнення сигнатур сталися інцидентами – все це добре допомагає в розробці засобів захисту. Але, віддаючи за це величезні гроші, компанії забувають, що такі рішення треба налаштовувати під конкретну інформаційну систему, що дефолтні налаштування не врятують під час атаки, що інформаційна система не функціонує у вакуумі.
Інші компанії вибирають більш бюджетні варіанти засобів захисту — раз у житті замовлять послугу з аналізу захищеності і вважають, що тепер-то у них точно все в порядку. І дуже обурюються, коли щось трапляється! Адже дійсно — все було зроблено, щоб убезпечити компанію. Що ж пішло не так?

Мета даної статті – поміркувати на тему безпеки компанії, а також розібратися, чи потрібні взагалі такі послуги, як тестування на проникнення, і чому ІБ – це дорого.

Трохи життєвих ситуацій


Отже, почнемо. Ситуація цілком звична і знайома багатьом. Заляканий російськими хакерами (і хакерами інших національностей) директор компанії вирішує викласти круглу суму і впровадити інформаційну систему anti-apt рішення. Ідея, яка заслуговує поваги. Гроші сплачені, рішення впроваджено, приставлені «хлопчики» для реагування на інциденти. Як стверджує виробник, все налаштовано так, що буде працювати, як кажуть, «з коробки». Все ідеально. Директор компанії майже в нірвані, але тут трапляється страшне. Закуплене рішення починає постійно повідомляти про атаки. Постійно. Майже 24/7. «Хлопчики», які повинні реагувати на всі заклики і хвилювання anti-apt рішення, кажуть, що нічого критичного не відбувається, проте спам повідомленнями про атаки триває. Користувачі не можуть нормально працювати і засипають техпідтримку скаргами. Директор не може зайти на потрібні йому сайти, скачати цікавий фільм, його улюблений комп’ютерний вірус б’ється в передсмертних конвульсіях. Ніхто не розуміє, що відбувається, але всі знають, хто (точніше, що) винувато. І приймається вольове рішення – нову штуку відключити, прибрати в шафку до кращих часів. Світ знову розцвітає фарбами, спокій і розмірений ритм повертаються в компанію. Директор видихає…

Читайте також  1998-2008: десять років, які Росія крокувала весь час не в ногу із Заходом, поки широкосмуговий інтернет не зрівняв усіх

Ситуація друга, теж тривіальна. Засоби захисту закуплені, навіть начебто працюють більш-менш стабільно, не викликаючи негативу. І тут починають приходити повідомлення про інциденти. «Хлопчики», які ведуть спостереження за сигналами SOS, намагаються реагувати, але у них або виходить не оперативно, або зовсім не виходить. Захист виявляється марною, як нікуди не підключена пожежна сигналізація.


Ситуація третя, ще більше впізнавана. Директор вирішує, що компанія може обійтися скромними засобами захисту, «без надмірностей», а щоб перевірити, чи все працює, слід провести тестування на проникнення. На його думку, пентест проводиться один раз і гарантує захист компанії від злому «на все життя». Тестування на проникнення проведено, звіт написаний, дифірамби засобів захисту заспівано, а компанію зламують. Директор сивіє…

Правда, знайомі ситуації? Давайте розбиратися, чому так виходить.

Чому ж так виходить

Будь anti-apt рішення, SIEM, більш-менш інтелектуальне засіб захисту вимагають спеціальної настройки під конкретну інформаційну систему. Під кожну. Немає диво-засоби захисту, немає «великої кнопки», яку натиснув — і все відразу працює, без будь-яких додаткових дій.

Всі знають про те, що в будь-якій системі є хибнопозитивні і псевдонегативні спрацювання. В даному випадку, відповідно, хибнопозитивні – це коли за інцидент приймаються будь-які легітимні дії в системі, хибнонегативні – коли інцидент приймають за легітимні дії.

Як же налаштувати засоби захисту компанії, щоб зменшити кількість помилкових спрацьовувань?
Оптимальне рішення – проведення повноцінного тестування на проникнення методом «чорного ящика». В ідеалі, звичайно, Red Team. Зовсім ідеально: спочатку пентест для налаштування, потім Red Team — для перевірки, ще більш чутливою налаштування і навчання команди Blue Team оперативно реагувати на сигнали від засобів захисту. Таким чином ми зможемо вирішити проблему з недостатньо швидкою реакцією співробітників. Правда, така послідовність виливається в кругленьку суму, іноді непідйомну для компанії.

Читайте також  Уразливість в Telegram дозволяє скомпрометувати секретні чати

Тестування на проникнення? Серйозно? Ці звітики з сканерів можуть нам допомогти?

Основна проблема, пов’язана з тестуванням на проникнення, – для великих компаній це стало мейнстрімом. Замовляти пентест і отримувати звіт про знайдений просто тому, що це стильно, модно, молодіжно», – марно. Але якщо тестування на проникнення робиться якісно і з нього витягуються уроки, це дуже корисна штука.

Урок 1. Злагодженість роботи команди реагування на інциденти та делегування повноважень.

У разі виникнення інциденту величезну роль відіграє швидкість реагування. Тому команда Blue Team повинна бути злагодженою — розуміти зони відповідальності та оперативно обмінюватися інформацією. Звичайно, такий високий рівень взаємодії труднодостижим, але грамотно проведене тестування на проникнення — штучне створення інцидентів, що провокує реакцію засобів захисту, — допомагає команді зрозуміти послідовність дій і специфіку реагування у подібних ситуаціях. Це не означає, що команда просто вчиться за певним шаблоном (за конкретним інцидентів) і у неї настає ступор, якщо відбувається атака іншого типу. В даному випадку важливо зрозуміти принцип взаємодії, визначити зони відповідальності (не в теорії, а «в реалі») і відчути все наживо.

Урок 2.Розстановка пріоритетів на активи компанії.

Зрозуміло, що існує інформація різного ступеня критичності, і необхідно розставляти пріоритети на активи. Для відволікання уваги зловмисники часто проводять одночасні атаки на різні ресурси компанії. Створюється велика кількість інцидентів, і команда Blue Team повинна грамотно реагувати — розуміючи, які атаки представляють небезпеку для критично важливої інформації, а які є «білим шумом». У разі, якщо початкові пріоритети не розставлені або неправильно розставлені, компанія ризикує зреагувати не на ті інциденти.


Урок 3.Перевірка реагування засобів захисту та їх грамотне налаштування.

Читайте також  Настройка модема Укртелеком для послуги ОГО!

Проведення тестування на проникнення допомагає Blue Team зрозуміти, як реагують засоби захисту на конкретні дії зловмисника. Наприклад, якщо відбувається перебір користувальницького пароля і він періодично блокується, важливо не просто заблокувати на якийсь час обліковий запис, але і повідомити про це команду реагування на інциденти. Якщо на дії пентестеров ваші засоби захисту не реагують, значить їх потрібно коректно налаштувати. Але захоплюватися не варто, інакше користувачі просто не зможуть нормально працювати.

Ось, напевно, три основних уроку, що допомагає засвоїти проведення тестування на проникнення. Основний момент полягає в тому, що пентест повинен виконуватися не «для папірці», а серйозно і відповідально. Ідеальне рішення – Red Team (повна емуляція дій apt угруповання). Це дійсно довго, чесно, з максимально можливим обходом засобів захисту. Як завжди – за якість треба платити, тому такого роду послуга коштує дуже дорого.

Замість висновку

А суть цієї байки така: використовуйте свої ресурси розумно. Навіть найдорожче засіб захисту не зможе забезпечити безпеку вашої компанії, якщо не буде злагодженої команди реагування на інциденти. Вам потрібна реальна безпека, а не паперова, тому варто вкладати кошти в «чесну» перевірку безпеки.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *