Computerworld Россия
Известно, что информационная система защищена настолько, насколько защищено самое слабое ее звено. Однако сотрудники предприятия не всегда могут объективно оценить степень безопасности и самого слабого звена, и системы в целом — такую работу лучше доверить внешним специалистам. В мире начинают набирать популярность услуги тестового проникновения в корпоративную сеть для проверки эффективности установленных в компании средств безопасности. Подобные услуги называют «тестами на проникновение», или «пен-тестами» (от англ. penetration test).
В России такими работами официально занимаются несколько компаний, но наиболее известны Positive Technologies и Digital Security. Надо сказать, тесты на проникновение не являются основой их бизнеса. В Positive Technologies они используются преимущественно для демонстрации возможностей продукта XSpider, в который интегрированы уникальные методы пен-тестинга, например «слепые SQL-инъекции». Для Digital Security флагманским продуктом является система управления безопасностью Digital Security Office, которая объединяет в себе средство анализа и управления рисками «Гриф» и средство разработки механизмов управления защитой «Кондор». Обе фирмы предоставляют услуги аудита и консалтинга в области информационной безопасности.
Тесты на проникновение, как правило, заказывает руководство предприятия. При этом остальные его сотрудники и даже службы, ответственные за обеспечение безопасности, специально не ставятся в известность. В некоторых случаях пен-тест служит причиной последующего аудита и внедрения средств защиты. В других случаях, наоборот, проверка осуществляется после внедрения соответствующих систем. Для «чистоты эксперимента» лучше, чтобы проникновение в сеть и аудит проводили разные фирмы.
В любом случае тестировщик оговаривает с заказчиком методы и степень проникновения. При этом подписывается договор, который защищает пен-тестера от судебного преследования в случае нанесения вреда информационной системе. В нашей стране такая услуга стоит от 3 до 5 тыс. долл. Результатом работы является описание проведенных тестов и найденных уязвимостей, но тестировщик не обязан давать рекомендации по совершенствованию защиты сети. Их можно получить при полном аудите системы безопасности, а эта услуга стоит уже от 20 тыс. долл. Дело в том, что тестер-«взломщик» ничего не знает о внутреннем устройстве системы безопасности, а потому не способен давать рекомендации. Аудитор же проверяет защиту «изнутри» и точно может сказать, каких компонентов в ней не хватает, а какие неправильно настроены.
Для директора службы ИБ проведение показательного теста на проникновение — хороший повод увеличить бюджет своего подразделения. А аудит безопасности обычно является первым этапом внедрения или модернизации всей системы защиты либо ее компонентов. Впрочем, в России услуги тестового проникновения пока не пользуются особым спросом. Заказывают их редко, и напрасно: по заверениям представителей упомянутых компаний, в 100% случаев показательные атаки прошли успешно. Удавалось взламывать защиту даже тех фирм, которые заказывали подобные услуги раньше. По оценке ведущего специалиста по информационной безопасности Positive Technologies Александра Анисимова, повторно обращаются для проведения пен-теста около 5% клиентов. «В России нет ни одного Web-сервера, который не имеет хотя бы одной уязвимости, — отмечает Илья Медведовский, исполнительный директор Digital Security. — И нам этого достаточно для проникновения».
Хотя пен-тестеры утверждают, что не существует стандартной методики проникновения, зачастую сценарий атак является общим. Первая цель «взломщика» — корпоративный Web-сервер, который проверяется на наличие SQL- или PHP-инъекции в разработанных приложениях. Успешно проникнув на сервер, тестировщик засылает «трояна» на компьютеры его посетителей (сотрудников компании), а уже через них проникает внутрь корпоративной системы с помощью реверсивных «троянских» сценариев. Альтернативой техническим методам является «социальная инженерия», в которой используются преимущественно каналы электронной почты или IM-систем. Отечественные пен-тестеры задействуют для поиска дефектов защиты только общедоступные сообщения о найденных ошибках. Тесты на проникновение длятся несколько недель или месяцев.
Отечественные фирмы могут заказать и бесплатный автоматический пен-тест при помощи проекта freescan.ru, совместно реализованного российским представительством Cisco Systems, компаниями Positive Technologies и «Мастерхост». По сути, он представляет собой специальную версию программы XSpider, которая работает в автоматическом режиме и проверяет компьютеры в указанном диапазоне адресов на наличие потенциальных «дыр».