В настоящее время большая часть бизнес-процессов переведена в интернет-пространство, что удобно, однако предполагает повышенные риски информационной безопасности. За 2022 год десятикратно выросло число кибератак на компании из различных сфер. Директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин отметил, что важной составляющей аудита безопасности является пентест, нацеленный на обнаружение недостатков в организации безопасности заказчика и нахождение наиболее слабых компонентов инфраструктуры.В общем понимании, пентест — это комплекс мер, которые имитируют реальную кибератаку или действия злоумышленника, целью которых является получение доступа к информации или к управлению информсистемами. Пентест может быть внутренним и внешним. Первый вариант предполагает работу с внутренней инфраструктурой заказчика: анализ внутренних сервисов, корпоративной сети и выявление существующих недостатков. Например, отсутствие обновлений или неправильное архитектурное решение. Во втором варианте тестовой кибератаке подвергается внешний контур инфраструктуры.Пентесты также делятся на три типа, определяющие подход к тестированию: “черный”, “серый” и “белый” ящики. Эти варианты отличаются количеством первоначальных данных, которые пентестеры получают для оценки безопасности.По словам Мурада Мустафаева, руководителя службы информационной безопасности компании “Онланта”, в настоящее время пентесты особенно востребованы среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. В большинстве случаев для проверки защищенности своих информационных систем госструктуры выбирают вариант “серого ящика”: поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт утверждает, что около 85% взломов связаны с человеческим фактором, а именно, с плохой осведомленностью сотрудников о правилах информационной безопасности. В связи с этим, обучение сотрудников организации основам социальной инженерии становится крайне необходимым.Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов говорит об еще одной проблеме — веб-уязвимостях, проистекающих из недостаточного развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Так, при запуске в общий доступ или обновлении продукта специалисты не проводят его аудит, оставляя, таким образом, вероятность утечек исходных кодов и сохраненных паролей.Помимо этого, Илья Завьялов обратил внимание на такой способ проникновения во внутреннюю инфраструктуру компании, как инсайдерские угрозы. Так, крупные компании часто пользуются услугами сторонних организаций для выполнения ряда задач: установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack”, ― добавил эксперт.Согласно данным “Информзащиты”, у российских компаний появление уязвимостей объясняется отсутствием процессов обеспечения безопасности внутренней инфраструктуры. К таким процессам относится управление уязвимостями (Vulnerability Management), рассчитанное на регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов.Также среди уязвимостей эксперт выделяет возможность удаленного выполнения кода за счет сервиса SMB, которая дает злоумышленнику доступ к первой учетной записи и позволяет через нее осуществить кибератаку.Сейчас большинство пентестов проводится в ручном режиме, однако частым становится запрос на внедрение систем непрерывного мониторинга и запуска пентестов, автоматизирующих процесс тестирования. Причину востребованности подобных систем Николай Фокин видит в увеличении количества кибератак, а также в постоянном изменении и усложнении инфраструктуры в условиях дефицита кадров.На сегодняшний день наиболее распространены системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). Их основное преимущество заключается в способности создавать имитацию взломов и атак одновременно по множеству направлений. Одно из решений данной области — платформа автоматизированного тестирования на проникновение PenTera, использующая технологии искусственного интеллекта для моделирования мышления и поведения хакера. Системы автоматизации пентеста дают возможность повышать скорость охвата инфраструктуры, а также избегать ошибок, связанных с человеческим фактором.У компании “ЛАНИТ-Интеграция” есть успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.
Дек 21 2022