24.09.2024 06:41:00

Исследование защищённости ресурсов и трудности выбора методик — Connect, № 7-8, 2024

Подходы к тестированию системы ИБ — один из актуальных вопросов для профессионалов, отвечающих за обеспечение защиты информационных ресурсов. При обсуждении доступных вариантов решений специалисты изучают возможность исследования защищенности информационных систем. При этом объектами исследования могут быть документы, процессы, процедуры, непосредственно системы, сотрудники — всё, что может оказывать влияние на информационную безопасность и быть уязвимым элементом системы. От задач конкретного проекта зависит выбор: проводить пентест систем, использовать методы социальной инженерии или провести аудит систем на соответствие требованиям регуляторов. В чём различие данных типов работ, кому стоит регулярно проводить исследования защищённости, как оценить полученные результаты?

Когда заказчики приходят с запросом на конкретный вид работ — тестирование, аудит, анализ защищённости, — в процессе диалога зачастую выясняется, что им нужна совсем другая услуга или даже их набор. Для общего описания всего комплекса методов и работ, которые позволяют оценить уровень защищённости информационных систем организации на основе результатов исследования объектов, мы используем базовый термин «исследование защищенности». Выбор методики пентест, социальная инженерия, аудит систем на соответствие требованиям регуляторов) зависит от задач конкретного проекта.

Аудит ИБ или пентест

Оценка соответствия (аудит) ИБ — это систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по обеспечению ИБ и установления степени выполнения в организации установленных критериев аудита ИБ. В качестве таких критериев могут использоваться требования нормативных документов регуляторов в области защиты информации, нормативных актов отраслевых регуляторов, документов национальной системы стандартизации, внутренних нормативных документов организаций. В качестве примеров можно привести:

●                   нормативные документы ФСТЭК:

▪          Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17;

▪          Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25.12. 2017 г. № 239;

▪          Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2013 г. № 31;

▪          Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21;

●                   нормативные акты Банка России:

▪          Положение Банка России № 683-П от 17 апреля 2019 года;

▪          Положение Банка России № № 821-П от 17 августа 2023;

▪          Положение Банка России № 802-П от 25 июля 2022 года;

●                   национальные стандарты Российской федерации:

▪          ГОСТ Р 57580.1—2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер;

▪          ГОСТ Р 57580.3—2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения;

▪          ГОСТ Р 57580.4—2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер;

▪          ГОСТ Р ИСО/МЭК 27001-2021 Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.

Использование требований тех или иных документов в качестве критериев аудита информационной безопасности определяется его целями. Аудиторская группа изучает информационную инфраструктуру и оценивает, какие требования имеры реализованы или нет, и если реализованы, то какими средствами и насколько полно. В рамках аудита ИБ применяются методы изучения документации, интервьюирования уполномоченных лиц и наблюдение за выполняемой деятельностью. То есть исследование осуществляется без вмешательства в информационную систему и её систему обеспечения информационной безопасности. Результаты аудита ИБ позволяют понять степень полноты реализации требований и мер ИБ и в случае необходимости понять, соответствует ли система обеспечения информационной безопасности организации или информационной системы регуляторным требованиям.

Тестирование на проникновение и анализ защищённости. Вместе с тем нас часто просят провести пентест (тестирование на проникновение) той или иной организации и очень удивляются, когда мы уточняем, а что конкретно требуется получить в качестве результата. Зачастую полагают, что пентест — это единственный вид работ, который позволяет проверить уровень безопасности информации организации. В таком случае мы обычно объясняем, что на самом деле работ существует довольно много и пентест — это только один из вариантов, причём не самый распространенный. На практике же большинству заказчиков больше подходит анализ защищённости — это вид работ, при котором поверхность компьютерной атаки проверяется максимально широко, чтобы затронуть наибольшее количество векторов атак. Пентест же, напротив, сужает количество векторов, ограничиваясь только максимально перспективными с точки зрения проникновения. Таким образом можно сказать, что пентест — это атака «в глубину», а анализ защищённости — «в ширину». В некоторых ситуациях необходимо, например, проведение атак методами социальной инженерии: «разбрасывание» вредоносных флешек в местах скопления сотрудников, распространение фишинговых писем, звонки, в ходе которых исследователи уговаривают сотрудников сообщить чувствительную информацию или выполнить определённые действия. А если у предприятия есть свой SOC, то может быть интересна не столько атака, сколько оценка работы защищающихся.

Сравнение методов

Основное отличие тестирования на проникновение от аудита ИБ заключается в моделировании атаки злоумышленника на информационную систему, то есть исследование может осуществляться с вмешательством (по решению владельца информационной системы) в информационную систему и её систему обеспечения информационной безопасности. Оно включает в себя анализ информационной системы и системы обеспечения информационной безопасности на наличие потенциальных уязвимостей, которые могут позволить реализовать атаку и может включать в себя эксплуатацию выявленных уязвимостей системы. Результаты тестирования на проникновение позволяют понять, насколько хорошо спроектирована информационная система и её система обеспечения информационной безопасности, насколько хорошо функционирует процесс управления обновлениями, насколько адекватно ландшафту угроз сконфигурированы средства защиты информации, насколько добросовестно персонал служб ИТ и ИБ выполняет свои обязанности.

Таким образом, нельзя противопоставлять эти два метода оценки защищенности информационных систем. Они органично дополняют друг друга. И если аудит ИБ позволяет дать комплексную оценку соответствия системы обеспечения информационной безопасности тому или иному набору требований, то тестирование на проникновение позволяет точечно оценить эффективность применяемых мер защиты информации в условиях их естественной деградации относительно постоянно изменяющего ландшафта угроз ИБ.

Взвесить все «за» и «против»

Ряд предприятий (например, кредитные организации или субъекты критической информационной инфраструктуры) обязаны проводить работы по улучшению безопасности — пентест или анализ защищённости в соответствии с законодательными требованиями.

Но и среди тех компаний, не подпадающих под обязательные законодательные требования либо положения нормативных правовых актов РФ, довольно много организаций, которые понимают, что цена ущерба от реализации компьютерной атаки или инцидента очень высока. К ним можно отнести интернет-магазины, крупные интернет-порталы и социальные сети.

Вы спросите, а можно ли пренебречь тестированием системы ИБ, и, как следствие, реализацией смежных рисков предприятия? И такое возможно, если тщательно просчитать бизнес-риски: просто оцените их в стоимости. Просчитайте ущерб от нарушения работоспособности интернет-магазина за час, день либо стоимость компрометации информации в случае утечки данных, составляющих коммерческую тайну, какова цена ущерба при блокировке рабочих станций всех сотрудников регионального филиала , когда важные данные на них зашифрованы, а резервное копирование не осуществлялось.

Несмотря на то, что не все риски могут реализоваться и привести к перечисленным последствиям, всё же вы сможете получить условную сумму и сравнить её со стоимостью проведения работ по улучшению системы безопасности предприятия. Последнее время всё большую популярность набирает и так называемое «страхование киберрисков». В 2023 году пострадавшие компании в России уже получали первые страховые выплаты по этому виду страхования.

Гарантии защиты

К сожалению, невозможно считать свою компанию защищённой после проведения пентеста или другого исследования. Эти мероприятия значительно повышают, но не гарантируют защищённость информационной системы организации от злоумышленников.

На следующий день в интернете может выйти статья с методом обхода вашего средства защиты информации, злоумышленники найдут новую уязвимость для сервера, а уборщице организации заплатят годовую зарплату, чтобы она подключила USB-устройство к компьютеру финансового директора.

Опасностей ­­­— множество, но для специалистов ИБ это ежедневная рутина. Чтобы избежать негативного сценария развития событий, нужно тщательно к нему готовиться. Должны быть внутренние документы и регламенты, описывающие действия в различных ситуациях. Для этого и проводятся работы по анализу защищённости и пентест, чтобы посмотреть, как потенциальные атакующие будут видеть и взламывать защиту предприятия. Злоумышленники, которые на самом деле во многом будут повторять путь исследователей, быстро потеряют интерес и пойдут искать более простую цель.

Но есть нарушители, которые не остановятся, если им нужна атака на конкретную организацию. Если нарушитель понимает, зачем он атакует, то вы точно должны понимать, зачем вам защищаться.

Чудеса социальной инженерии

Всё чаще злоумышленники используют методы социальной инженерии для проникновения в информационные системы организаций, поэтому очень важно также регулярно проводить обучение сотрудников.

Приведём несколько показательных случаев из нашей практики. В ходе одного исследования мы проверяли организацию Wi-Fi сети. Одной из таких проверок было создание поддельной сети на устройстве исследователя с тем же именем, что и настоящая корпоративная точка доступа. Был даже повторен интерфейс портала, через который сотрудники получали доступ в интернет. Обычно в такую ловушку сотрудники попадают нечасто, но в ходе этой работы один сотрудник с необычным упорством полтора часа пытался получить доступ в «интернет» через нашу сеть — он вводил вручную огромное количество паролей (мы не могли подтвердить пароль, поэтому на любую его попытку устройство говорило, что пароль неправильный). Этот сотрудник вводил и свои корпоративные учётные данные и, видимо, пытался ввести учётные данные от внутренних сервисов, даже попробовал такие редкие способы аутентификации, как вход по сертификату — в общем, обеспечил нас достаточным количеством чувствительной информации. Мы специально выключили поддельную сеть через некоторое время, чтобы сотрудник перестал тратить время и занялся рабочими обязанностями.

В ходе другой проверки нам нужно было попасть на территорию предприятия. Сработал стандартный сценарий: исследователь представился проверяющим из вымышленной организации «ОблТоргМетАлмазГазНефть в сфере информационных технологий» и вместо проверки документов его пропустили на территорию, отвели к главному системному администратору, который пустил за свой рабочий компьютер и сообщил пароль для входа. Это было так просто, что было даже сложно поверить.

Обязательные мероприятия

Для некоторых организаций и предприятий аудит ИБ и тестирование на проникновение —­ обязательные мероприятия. В частности, для финансовых организаций Банк Россииустанавливает периодичность проведения этих мероприятий. Аудит ИБ может проводить только независимая организация — лицензиат ФСТЭК, имеющая лицензию на услуги по технической защите конфиденциальной информации. По результатам проведения таких мероприятий финансовые организации отчитываются перед Банком России, заполняя установленные отчетные формы.

ФСТЭК России пока не предъявляет требований по периодичности проведения аудита ИБ и тестированию на проникновение. Однако, исходя из Информационного сообщения ФСТЭК России «Об утверждении методического документа ФСТЭК России „Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации“», ФСТЭК России планирует ввести в действие НПА, устанавливающие требования по оценке показателя текущего состояния технической защиты информации и обеспечения безопасности объектов КИИ.

При проведении аудита ИБ возникает вопрос: как оценить степень реализации требований, чтобы можно было обеспечить сопоставимость результатов, особенно в условиях привлечения для выполнения работ по аудиту ИБ различных исполнителей. Для этого необходимо иметь методики проведения аудита ИБ под различные нормативные документы

Банк России параллельно с подготовкой ГОСТ Р 57580.1—2017 подготовил ГОСТ Р 57580.2—2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Этот ГОСТ Р в настоящее время применяют организации-оценщики для поведения аудита ИБ по требованиям ГОСТ Р 57580.1 в финансовых организациях. Кроме того, для каждого из своих нормативных актов, по выполнению требований которых финансовые организации должны отчитываться перед Банком России, также подготовлены соответствующие методические рекомендации.

В мае 2024 года ФСТЭК утвердил методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Он позволяет определить показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ, его нормированное значение и порядок расчёта.

Методика ориентирована на оценку состояния защиты информации в государственных органах, органах местного самоуправления, организациях и степени его соответствия минимально необходимому уровню защиты информации от типовых актуальных угроз.

В методике определен минимальный уровень мер, которые организации обязаны применять для защиты информации. Они регламентированы нормативными правовыми актами Российской Федерации и минимально достаточны для блокирования типовых актуальных угроз безопасности информации. Методика прозрачна и построена на основе иерархии групповых и частных показателей защищённости. В методику попал набор частных показателей защищённости, позволяющий оценить реализацию достаточно ограниченного набора мер Приказов ФСТЭК № 17, 21, 239, 31, что оправдано с точки зрения универсальности методики. Пока данная методика может применяться по решению организаций либо в случае поступления запроса со стороны ФСТЭК.

   Источник

Рекомендуемые статьи