Тестирование на проникновение и анализ защищенности
Тестирование
Как компании «честно» проверить уровень защищенности от киберрисков?
В 2020 году бизнес повсеместно перешёл на удалённую работу сотрудников. «Удаленка» заставила многие компании серьезно модернизировать свою ИТ-инфраструктуру и повысила значимость обеспечения кибербезопасности компаний. Для быстрой проверки уровня защищенности компаний стали еще более востребованы экспресс-аудиты кибербезопасности и тесты на проникновение. Что же является причиной популярности таких проектов, что делает эти проекты такими эффективными, какие риски позволяют предупредить? Об этом и об особенностях подхода CSI Group к их проведению расскажем в этой статье.
Как компании «честно» проверить уровень защищенности от киберрисков?
Пандемия COVID-19 и рецессия экономики привели к серьезным проблемам бизнеса и косвенно стимулировали рост внутреннего и внешнего мошенничества — активность киберзлоумышленников, по статистическим данным возросла более чем в 4 раза.

В период изоляции многие компании перешли к работе в режиме удаленного доступа сотрудников к данным, что само по себе является небезопасным способом подключения для неподготовленных ИТ инфраструктур. При такой организации работы чаще происходят утечки информации, вирусные атаки, возможен доступ к конфиденциальным данным со стороны хакеров, легче осуществить промышленный шпионаж. Нередкими становятся обращения о хищении денежных средств, все эти и другие инциденты приводят к нарушению слаженной работы компании. Кроме того, изменение внешнего периметра сети, требует запуска новых приложений и сервисов для удаленной работы, и как следствие может привести к утечке данных при их передаче по незащищенным каналам связи. Несанкционированный доступ и кражаконфиденциальной информации может также происходить в связи с небезопасной конфигурацией устройств, сервисов и программного обеспечения. Ниже можно увидеть распределение долей по типам векторов атак от общего количества вторжений в ИТ инфраструктуры компаний.
Доля векторов атак по типам
Как оценить угрозы и снизить риски для бизнеса?
Первое с чего нужно начать — это понять, в каком состоянии находится информационная безопасность компании на данный момент. Насколько ваша сеть защищена, можно ли в нее проникнуть извне, и насколько корректны настройкибезопасности внутри?
Именно на эти практические вопросы помогают ответить тесты на проникновение. Итоговые отчеты по результатам проектов показывают все уязвимые места, а самые критичные уязвимости возможно закрыть сразу же после обнаружения, не ожидая завершения проекта.
О чем говорят итоги пентестирования?
Проведение пентеста дает возможность выполнить «честную» проверку реального состояния защищенности вашей компании, используемых средств защиты и грамотность их настройки. Хороший отчет по результатам проекта должен содержать как минимум следующую информацию:
  • детальное описание всех выявленных уязвимостей с указанием уровня их критичности;
  • рекомендации по устранению уязвимостей с указанием приоритетов;
  • рекомендации по проведению дополнительных исследований и внедрению средств защиты информации.
Кроме того, независимая оценка защищенности является одним из требований стандартов безопасности (Compliance: ISO 27 001, PCI DSS, GDPR, 152-ФЗ, требования Банка России, КИИ и др.) и служит конкурентным преимуществом в глазах ваших клиентов и партнеров.

Анализируя наш опыт, можно с уверенностью сказать, что уровень защищенности корпоративной инфраструктуры большинства компаний от целенаправленной атаки со стороны как внешнего, так и внутреннего злоумышленника, достаточно низкий. Зачастую самые элементарные эшелоны защиты отсутствуют, наглядный пример, статистика использования небезопасных паролей.
Подобранные пароли в сетевом периметре (по категориям)
В компаниях, в которых не обеспечены эффективный мониторинг событий ИБ и реагирование на выявленные инциденты, нарушитель может не только получить контроль над ключевыми системами, но и проводить атаки, нацеленные на компрометацию данных.
Поэтому мы рекомендуем регулярно проводить тестирование на проникновение и тренинги как для сотрудников — неспециалистов в рамках курсов кибергигиены, так и для сотрудников ИБ в рамках «red teaming». Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реально кибератаки, проверить эффективность используемых средств защиты и мониторинга.
Какие преимущества имеет проект с проведением пентеста:
    Демонстрация реальных сценариев атаки на вашу корпоративную сеть.
    Конфиденциальность результатов и целостность вашей ИТ-инфраструктуры.

    Рекомендации по повышению безопасности от независимых экспертов в области кибербезопасности.
    Соответствие всем нормам законодательства и требованиям регуляторов (Compliance).
    Возможность софинансирования проекта в рамках программы Майкрософт — Solution Assessment.
    4 октября 2021 года

    Используемые источники:
    1. Статистические данные компании Positive Technologies — https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/#id2
    2. Статистические данные компании Positive Technologies — https://www.ptsecurit
    3. Интернет журнал «Директор по безопасности» — https://www.s-director.r
    4. Иллюстрации https://www.freepik.co
      Александр Писемский
      Executive Director | Forensic Technology