20 Дек 21:02 Другие новости

Эксперты группы ЛАНИТ рассказали о преимуществах пентестов

Лента новостей

17:01 Спектакли, встречи и мастер-классы: что подготовили культурные площадки Москвы в рамках «Библионочи»

14:37 Гостей выставки «Россия» познакомят с культурной жизнью столицы

10:57 Более 10 тысяч семей присоединились к волонтерским проектам Москвы

09:30 Начался прием заявок на ИТ-стажировку в Правительстве Москвы

08:56 Москвичи выберут лучший весенний маршрут для прогулок по паркам

20:01 В нотариате рассказали о новых правилах выезда детей за границу

Практически все бизнес-процессы сейчас находятся в интернет-пространстве, по причине чего возрастают риски информационной безопасности. За 2022 год количество кибератак на компании из разных отраслей увеличилось в 10 раз.

“Всё должно начинаться с аудита безопасности, в котором важную роль играет пентест ― услуга, позволяющая вскрыть недостатки в организации безопасности заказчика и понять, что необходимо защищать в первую очередь”, ― рассказал директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” Николай Фокин.

Пентест представляет собой имитацию кибератаки или действий злоумышленника, нацеленных на получение доступа к информации, к эксплуатации информсистем. Пентест может быть внутренним и внешним. В первом случае компания-исполнитель работает в инфраструктуре заказчика, а во втором — тестовый удар по инфраструктуре заказчика наносится снаружи. “В процессе тестирования проводится пассивная разведка внешней инфраструктуры заказчика, и через обнаруженные уязвимости нам удается проникнуть во внутреннюю инфраструктуру. Дальше мы уже на площадке заказчика анализируем его внутренние сервисы, всю корпоративную сеть, выявляя различные недостатки”, ― объяснил директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов.

По подходу к тестированию пентесты делятся на три типа: “черный”, “серый” и “белый” ящики. Эти сценарии отличаются количеством исходной информации об инфраструктуре компании, которая предоставляется пентестерам.

По словам руководителя службы информационной безопасности компании “Онланта” Мурада Мустафаева, очень многие представители госсектора сегодня активно используют пентесты для проверки защищенности своих информационных систем. Как правило, госструктуры заказывают тестирование по типу “серого ящика”: поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. “Примерно 85% взломов проходят именно через социальную инженерию, когда сотрудники просто плохо осведомлены о политиках информационной безопасности. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ― уточнил Мурад Мустафаев.

Другая проблема – веб-уязвимости. По словам Ильи Завьялова, далеко не во всех компаниях есть культура безопасной разработки интернет-сервисов и приложений. Так, разработчики и сотрудники ИБ перед запуском в общий доступ или очередным обновлением продукта не всегда проводят его аудит, что приводит к риску утечек исходных кодов и сохраненных паролей.

Еще один вектор проникновения во внутреннюю инфраструктуру компании — инсайдерские угрозы. Крупной компании часто нужны услуги сторонних организаций: установка оборудования, электрика, клининг, доставка. Хакер находит компанию, обслуживающую крупную корпорацию или холдинг, и через ее коммуникации выходит на офис главного заказчика.

Кроме того, по данным “Информзащиты”, у российских компаний множество уязвимостей связано с отсутствием процессов обеспечения безопасности внутренней инфраструктуры. “У многих клиентов до сих пор есть такая установка: нас же не ломали ни разу, значит, всё хорошо. При этом в инфраструктурах, особенно у больших компаний, очень много уязвимостей, которые не закрываются годами”, ― отметил Илья Завьялов.

Также к распространенным вариантам уязвимостей эксперт относит возможность удаленного выполнения кода за счет сервиса SMB — сетевого протокола для удаленного доступа к сетевым ресурсам.

Еще одной важной проблемой является слабая парольная политика. Зачастую у большой компании есть ip-камеры наблюдения, принтеры, другие устройства, которые поддерживают авторизацию Microsoft. “Камеры и принтеры часто не контролируются сотрудниками ИБ. Злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы найти учетные данные доменных пользователей, с которых можно начать атаку”, ― пояснил специалист “Информзащиты”.

Как правило пентесты проводятся в ручном режиме, однако все больше заказчиков хотят включить в свою инфраструктуру систему непрерывного мониторинга и запуска пентестов и, таким образом, автоматизировать процесс тестирования.“Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов”, ― добавил Николай Фокин.

Самыми распространенными считаются системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS), имитирующие взломы и атаки сразу по множеству направлений. В число таких решений входит платформа автоматизированного тестирования на проникновение — PenTera. С помощью искусственного интеллекта PenTera способна моделировать мышление и поведение хакера. “Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, но что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ― всё это система обеспечивает”, ― отметил Николай Фокин.

У компании “ЛАНИТ-Интеграция” есть успешный кейс внедрения системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, включая системы IoT.