Тест на проникновение представляет собой моделирование (на основе согласованной с заказчиком модели) действий хакера, намеренного проникнуть в корпоративную сеть из Internet
Этот тест позволяет обнаружить уязвимости в защите корпоративной сети и осуществить показательный взлом. После тестирования заказчик получает отчет с комплексом рекомендаций по устранению обнаруженных уязвимостей.
Общая специфика
Рассмотрим особенности проведения тестов на проникновение. Объектами тестирования обычно являются корпоративные сети по внешнему периметру IP-адресов и Web-сайты. Однако не так давно появилась новая методика — имитация атаки на внутренних пользователей системы путем применения реверсивных «троянов». Эта прогрессивная технология взлома, в которой используются уязвимости клиентского ПО рабочих станций и методы социальной инженерии, позволяет проникать в защищенные корпоративные сети и контролировать их изнутри. По сути, она дискредитировала концепцию защиты от атак путем обеспечения безопасности только внешнего периметра сети, вынудив защищать каждое рабочее место с помощью комплекса мер верхнего уровня в соответствии с ISO 17799.
Обычно в тестах на проникновение используются доработанные методики Национального института стандартов и технологии США (NIST) Draft Guideline on Network Security Testing и Open-Source Security Testing Methodology (OSSTM). Выбираются объекты исследования, задается модель нарушителя (включая его возможности) и оговаривается режим работы на основе уровня первоначальных знаний исполнителя о тестируемой системе (Black Box или White Box) и уровня информированности заказчика об испытаниях (режим Black Hat или White Hat). При выборе уровня Black Box исполнителю необходимы лишь диапазон внешних IP-адресов и, возможно, адреса e-mail внутренних пользователей системы. В режиме White Box доступная тестировщику информация значительно шире.
В режиме Black Hat о проведении работ знают только руководители службы ИБ. При этом задача группы тестировщиков — полностью имитировать действия злоумышленника, действуя максимально незаметно и не оставляя следов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов и администраторов ИБ. В режиме White Hat каких-либо мер сокрытия атакующих действий не применяется, а исполнители тестов работают в постоянном контакте с ИБ-службой заказчика. Их основная задача сводится к обнаружению возможных уязвимостей и оценке риска проникновения в систему.
Заблуждения клиентов
В отличие от США и Западной Европы, в России и других странах СНГ отдельная услуга тестирования на проникновение до недавнего времени практически не предлагалась. Это было обусловлено целым рядом причин, начиная с низкого уровня использования Internet в деловой среде и заканчивая нежеланием поставщиков услуг в области информационной безопасности (security-компаний) развивать соответствующее направление деятельности. В ряде случаев развитие сектора услуг тестирования на проникновение сдерживается типичными заблуждениями клиентов, вызванными консерватизмом и нежеланием замечать перемены в окружающей действительности.
К последним, например, относится миф о низкой значимости Internet для бизнеса российских компаний. Действительно, еще несколько лет назад так и было, но сегодня высокоскоростной доступ к Сети имеется практически у всех корпоративных клиентов. Следовательно, проблема проникновения в корпоративную сеть из Internet становится предельно актуальной (особенно с учетом применения хакерами реверсивных «троянов» и избыточной функциональности клиентского ПО). Нельзя недооценивать и использование средств Internet в конкурентной борьбе для получения оперативного контроля над корпоративной информацией. Пострадавшие, как правило, скрывают такие факты, но в узкой среде о них хорошо известно.
Еще одно заблуждение: заказчики порой приравнивают тесты на проникновение, которые проводятся квалифицированными аналитиками, к автоматизированному сканированию. Отдельные security-компании сами способствуют этому, выдавая обычное автоматизированное сканирование портов за комплексные тесты на устойчивость систем к взломам.
Но сопоставление таких методов попросту неуместно: это все равно, что сравнивать действие обезболивающей таблетки с работой врача-анестезиолога. Сканер помогает лишь в тривиальных случаях, когда, как говорится, «дыры» налицо, что встречается крайне редко. Результатом сканирования становится «черновой эскиз» текущего состояния системы. Он часто вводит в заблуждение заказчика, поскольку свидетельствует о наличии уязвимостей, которые в конкретной ситуации могут быть нереализуемы. В свою очередь, тест на проникновение в корпоративную сеть требует не менее месяца работы квалифицированных специалистов, которые должны проанализировать все детали исследуемого объекта, учесть человеческий фактор, выбрать подходящий сценарий атаки, разработать уникальное в каждом случае ПО для взлома системы.
Это не означает, что для определения уровня корпоративной безопасности сканеры больше не нужны. Они, безусловно, являются необходимыми элементами системы управления ИБ, но лишь строго в рамках возложенных на них задач. Использование сканеров — далеко не панацея от атак, и если целиком полагаться на их данные, можно впасть в заблуждение относительно реального уровня защищенности сети. Задачи сканеров принципиально иные: в больших корпоративных сетях их необходимо регулярно использовать для отслеживания конфигурационных изменений и новых «дыр» в прикладном и системном ПО.
К числу серьезных заблуждений относится неоправданная уверенность в защищенности внутренних ресурсов. Совсем недавно предприятия опирались на концепцию централизованной защиты сети, подразумевающую установку точки контроля над всем входящим и исходящим трафиком (межсетевого экрана) и создание выделенной корпоративной сети с немаршрутизируемыми адресами. Сегодня эта концепция де-факто «умерла», а точнее — превратилась в необходимое, но не достаточное условие для обеспечения внутренней безопасности.
Развитие услуг тестирования на проникновение сдерживается и негативным отношением клиентов к деятельности внешних аудиторов — из-за недоверия или попросту нежелания привлекать чужое внимание к собственной сети. Этот фактор всегда вызывал улыбку у специалистов. Если в случае внутреннего аудита защиты вопрос доверия действительно актуален, то какой-нибудь хакер может в любой момент выполнить нежелательный «тест на проникновение» по своему усмотрению, без уведомления и с целью нанесения ущерба компании.
Часто у клиентов возникают сомнения в квалификации внешних аудиторов. Полностью исключить их вряд ли удастся: если систему безопасности не сумели «взломать» одни люди, то не исключено, что это смогут сделать другие, например те же хакеры. Остается лишь посоветовать выбирать в качестве аудиторов компании, которые специализируются на услугах тестирования на проникновение и имеют в этой области большой практический опыт.
«Ложечку нашли, но осадок остался»
Весьма существенным тормозящим фактором оказывается и неготовность самих security-компаний к тестированию систем безопасности.
Во-первых, проведение таких работ экономически плохо оправданно. Типовые расценки на услугу составляют от 4 до 10 тыс. долл., а при определении затрат на ее предоставление следует учитывать необходимость одного-двух месяцев работы нескольких высококлассных экспертов (в том числе написания ими программ-эксплойтов). По соотношению стоимость/трудоемкость процесса для security-компаний гораздо выгоднее крупные контракты на полный аудит безопасности корпоративной сети. Именно это стимулирует малоизвестных (и не имеющих нужных специалистов) игроков рынка ИБ подменять термины и выдавать тривиальное сканирование за тесты на проникновение, а известные компании — проводить тестовые взломы только в составе полного внутреннего аудита.
Во-вторых, такая услуга — своего рода лакмусовая бумажка, показывающая уровень компетенции исполнителя. Аудитору крайне сложно спрятать свою неудачу при попытке проникновения в систему, хотя ясно, что успех в этом далеко не всегда возможен. Иногда после действительно большой работы положительного результата так и не удается достичь (то есть взлома не происходит), что сказывается на репутации security-компании. Это напоминает известный анекдот «ложечку-то мы нашли, но осадок все равно остался».
В-третьих, надо признать, что в России мало специалистов с необходимым опытом работы. Серьезный тест на проникновение обычно подразумевает написание собственных эксплойтов, а это — сложное трудоемкое занятие, требующее от исполнителя редких на сегодняшний день навыков.
В-четвертых, даже в профессиональной среде бытует мнение, что услуга тестирования на проникновение несет на себе налет хакерства. По этой «мифической» причине крупные российские security-компании, в отличие от их западных коллег, до сих пор опасаются открыто рекламировать свои возможности в этой области.
Зачем и почему?
Безусловно, рассмотренные факторы еще долго будут отрицательно влиять на российский рынок услуг тестирования на проникновение. Но сегодняшняя тенденция вполне очевидна: как в России, так и на Западе этот сегмент услуг ИБ начал активно развиваться.
Итак, для чего же нужны тесты на проникновение, проводимые сторонними аудиторами? Ответ прост: для независимой проверки защищенности корпоративной сети, и этим все сказано. Пытаться объективно проверить самого себя — это нонсенс. Хороший администратор и так старается сделать все возможное, чтобы обеспечить максимальную защиту системы от внешнего проникновения. Как он будет проверять свое «творение», априори зная все его сильные и слабые места?
Кроме того, процесс тестирования подразумевает написание оригинальных эксплойтов, но опыт свидетельствует, что специалистов, которые могут создать рабочий вариант эксплойта даже при наличии описания уязвимостей, крайне мало. Такими знаниями не обязан обладать даже превосходный системный администратор.
И последний аргумент. Владельцу компании необходима независимая оценка защищенности сети его предприятия, позволяющая получить дополнительные гарантии информационной безопасности бизнеса.
Илья Медведовский (idm@dsec.ru) — канд. техн. наук, эксперт по информационной безопасности, директор компании Digital Security