Тест на проникновение: как увеличить бюджет ИБ?

11 января 2013

Андрей Соколов,
Cпециалист по тестированию на проникновение ЗАО «ДиалогНаука»

CIO/#01–02/январь–февраль 2013
www.computerra.ru

Цель любого бизнеса — извлечение максимальной прибыли. Ее достижению сопутствует минимизация рисков и издержек.

C точки зрения бизнеса, функциональные подразделения относятся к одной из двух категорий: приносящие и затратные. И если к первым бизнес может (и должен!) проявлять гибкость и динамизм, то в отношении вторых его политика практически всегда консервативна.

Вне зависимости от уровня зрелости информационной безопасности и от глубины ее интеграции в бизнес-процессы подразделение, обеспечивающее ИБ, всегда будет принадлежать ко второй категории, с соответствующим отношением к ней со стороны бизнеса. С другой стороны, эффективность информационной безопасности прежде всего зависит от степени осознания бизнесом спектра рисков и угроз, свойственных информационным активам. Понимание этой зависимости является необходимым условием реализации адекватной политики информационной безопасности как инструмента контроля уровня рисков и угроз. По глубочайшему убеждению автора, первостепенной метрикой эффективности информационной безопасности является положительная динамика прироста ее бюджета. Если такой динамики нет, то развивать информационную безопасность невозможно.

Поэтому самой важной и сложной задачей, которую приходится решать руководителям служб информационной безопасности, является обоснование бюджета своего подразделения — через обоснование актуальности пока еще не решенных вопросов.

В большинстве случаев традиционных подходов к решению этой проблемы недостаточно. Можно провести основательный анализ уязвимостей сразу по обеим типовым моделям — «внутренний нарушитель» и «внешний нарушитель», обнаружить большое количество уязвимостей, создать множество метрик, сводок и гистограмм, отражающих всевозможные риски, угрозы и вероятности реализации этих угроз, и завалить бизнес всей этой информацией… Но, как показывает практика, даже самого пухлого отчета оказывается недостаточно для доведения до бизнеса мысли о необходимости пересмотра подхода к формированию бюджета на информационную безопасность. Его ответная реакция в подавляющем большинстве случаев сводится к указанию закрыть обнаруженные уязвимости к определенному сроку.

Такое положение дел более чем естественно, ведь риски и угрозы суть категории вероятностные, неопределенные. Исходя из консервативного отношения к информационной безопасности как к затратному технологическому процессу, бизнес не заинтересован в том, чтобы увидеть связь между какими-либо проблемами в обеспечении ИБ и вероятностью потери доходов. Ведь такой взгляд на вещи неизбежно влечет за собой увеличение издержек — а следовательно, потерю доходов, но уже не вероятную, а вполне конкретную. И до тех пор, пока бизнес не испытает на себе непосредственную реализацию этих угроз, они так и останутся в разряде неопределенных.

Наиболее эффективным и эффектным инструментом наглядной демонстрации рисков и угроз информационной безопасности (и, таким образом, обоснованием бюджета информационной безопасности) является тестирование на проникновение — имитация действий реальных злоумышленников по проникновению к наиболее ценным информационным активам (разумеется, без причинения бизнесу какого-либо ущерба).

Не следует путать тестирование на проникновение с инструментальным аудитом информационной безопасности по типовым моделям, таким как «внутренний нарушитель» и «внешний нарушитель». Эти модели слишком ограниченны и гипотетичны, и результатом таких работ являются опять же отчеты, сводки, таблицы и гистограммы, оперирующие малоубедительными для бизнеса вероятностными категориями.

Реальному злоумышленнику никогда не поставят задачу произвести поиск уязвимостей целевой информационной системы и анализ критичности обнаруженных уязвимостей для бизнеса. Хакерство — это тот же самый бизнес, суть которого сводится к извлечению прибыли при минимизации рисков и издержек, путем причинения вполне определенного ущерба другому бизнесу — бизнесу целевой компании. Реальному хакеру поставят конкретную задачу, и в большинстве случаев это будет организация скрытого и надежного удаленного контроля над конкретными информационными активами целевой компании. Реального хакера (а тем более его нанимателя) не интересуют уязвимости. Этих людей может интересовать лишь достижение результата при минимальных затратах времени и ресурсов и с минимальным риском обнаружения и противодействия.

Тестирование на проникновение — имитация действий реального компьютерного взломщика — должно осуществляться с максимальным приближением к действительности. Чем ближе к действительности и чем более квалифицированно будет произведена такая работа, тем более ее результаты окажутся убедительными и очевидными для бизнеса. И тем вероятнее эти результаты приведут к желаемому результату — повышению осведомленности бизнеса о присущих ему рисках и угрозах информационной безопасности и созданию у него мотивации к решению этой проблемы.

ВЫБОР МИШЕНИ

При планировании теста на проникновения основной задачей является выделение одного или нескольких ценных информационных активов, организация контроля над которыми может являться целью реального компьютерного преступника. Ею может быть, например, ноутбук генерального директора (не столько файлы на нем, сколько его встроенные веб-камера и микрофон), получение привилегий администратора домена локальной вычислительной сети (с соответствующими административными привилегиями во всех включенных в этот домен системах), сервер баз данных с критически важной информацией, формирование и отправка ложной платежки на 1 рубль… Все зависит от бизнеса. Цели должны быть выбраны таким образом, чтобы демонстрация бизнесу контроля над ними произвела максимальный эффект.

Необходимо также выбрать квалифицированного исполнителя. Для выполнения такой работы специалисту необходимы соответствующий инструментарий и опыт.

Серьезные целевые информационные системы, как правило, находятся за несколькими контурами защиты, и по пути к цели взломщику приходится иметь дело с десятком разнообразных промышленных средств защиты информации. Арсенал профессионального взломщика состоит из множества инструментов, выполняющих две основные задачи — невидимый обход всех типовых промышленных средств защиты информации и осуществление полноценного удаленного контроля над целевыми системами, когда наблюдатель находится далеко за их физическими пределами.

Хакер, нацеленный на результат, не ориентируется на типовые методики проведения инструментального аудита информационной безопасности — такие как ISSAF или OSSTMM. Напротив, он ищет нетривиальные пути и применяет неожиданные решения для реализации угроз. Он будет стремиться использовать слабые места в защитных контурах целевых информационных систем, не классифицируемые в типовых методиках как уязвимости. Подобный подход минимизирует риск быть обнаруженным.

Вследствие того что в нашей стране доминирует технологический подход к решению проблем информационной безопасности, наиболее уязвимым местом любых информационных систем является оператор — управляющий этими системами человек. Поэтому специалист должен быть мастером в области социальной инженерии.

Тестирование на проникновение — если это хорошее тестирование на проникновение — практически всегда приводит к достижению поставленных целей.

К сожалению, в нашей стране очень распространено мнение, что подобный успешный тест дискредитирует работу службы информационной безопасности, а заодно и всех остальных служб ИТ. В реальности ситуация прямо противоположна: тестирование реализуется по не предусмотренным политикой информационной безопасности векторам воздействия. Таким образом, ответственность за неприятие и недостаточное внимание к рискам и угрозам информационной безопасности лежит на бизнесе, и при наглядной демонстрации достигнутых тестом на проникновение результатов он это отлично понимает. Автор этой статьи за шесть лет работы в компании «ДиалогНаука» провел три десятка тестов на проникновение, и этого опыта вполне достаточно для подобных «статистических» рассуждений.

657
;