Пентест глазами ЦБ

Тестирование на проникновение появилось в обязательных требованиях ЦБ РФ к банкам 7 мая 2018 года в Указании 4793-У с формулировкой: «Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры». Она же перекочевала в положения 683-П и 719-П — основные документы ЦБ в части ИБ.

Также для некредитных финансовых организаций было выпущено Положение 757-П (сменившее 684-П), определяющее, что все страховые, пенсионные фонды, брокеры, дилеры и иные организации должны минимум раз в год проводить тестирование на проникновение и анализ уязвимостей.

До настоящего времени нет официальных документов, регламентирующих пентест финансовой организации. В устной неофициальной форме представители ЦБ определяют это примерно так: «Надо, чтобы было хорошо», а «хорошо» — это как?

Требованиями ЦБ проведение пентеста не ограничивается. Так, для платежных систем (из действующих — «МИР» и SWIFT) обязателен анализ защищенности по методике PCI DSS. На рынке услуг по ИБ пентест как самостоятельная услуга стал пользоваться спросом не более десяти лет назад. Сегодня для этой деятельности необходима соответствующая лицензия на ТЗКИ (техническая защита конфиденциальной информации) от ФСТЭК. Все компании, предлагающие такую услугу и обладающие необходимыми документами, должны обеспечивать проведение работ на высоком уровне, что можно расценивать как «хорошо».

Требования ЦБ допускают проведение пентеста силами самого банка (при этом лицензия не нужна — ведь услуга сторонней организацией не оказывается). А вот это уже не очень «хорошо». На практике мы видим, что результаты пентеста, которые получает заказчик, стимулируют его совершенствовать систему защиты информации, а также нередко приводят к смене персонала. Если же анализировать защищенность будут внутренние специалисты (не всегда компетентные), проблемы безопасности могут быть не замечены. Поэтому в обязательные требования для банков хорошо было бы включить проведение пентеста сторонней организацией с лицензией ФСТЭК.

Что предлагает рынок

Виды пентеста можно структурировать следующим образом (между собой могут они сочетаться в разных комбинациях, «гибридные» формы рассматривать не будем):

1. Внешний пентест по методике «серого ящика» ⎯ самый доступный из существующих вариантов. Включает в себя сканирование и анализ уязвимостей ресурсов организации, имеющих выход в интернет. Экономия средств получается существенной по сравнению с другими вариантами, но не отрабатываются векторы атак внутреннего злоумышленника, поэтому нельзя считать такой анализ полным.
2. Пентест, основанный на методах социальной инженерии. Набор вариантов здесь может быть огромным, но все они ориентированы больше на проверку сотрудников, чем на проверку инфраструктуры. На практике в сочетании с предыдущим вариантом позволяет достичь определенных успехов по взлому. Может включать в себя фишинг, email- и SMS-рассылки, телефонные звонки и даже очные беседы с сотрудниками банка.
3. Внутренний пентест по методике «черного ящика» ⎯ один из наименее востребованных пентестов из-за ограниченности. Он предполагает, что у тестировщика нет данных о внутренних системах организации. Ему предоставляют розетку Rj-45, а дальше «как повезет». Обычно обнаружить удается далеко не все. Иные варианты «черного ящика» не будем рассматривать, поскольку к анализу уязвимостей они имеют отношения меньше, чем к сбору информации по OSINT.
4. Внутренний пентест по «серому ящику» ⎯ сбалансированный вариант, где тестировщику предоставляют рабочее место сотрудника с непривилегированными в сети правами. Обычно дает возможность собрать интересные результаты.
5. Пентест по методике «белого ящика» ⎯ редкий и дорогой. Скорее это аудит, а не пентест, поскольку тестировщику предоставляют административные права сети организации, и изначально у него есть вся информация об имеющихся в организации системах.
6. Пентест по модели RED TEAM ⎯ попытка взлома организации всеми доступными методами, при которой анализируются не только возможности атак, но и качество реагирования службы ИБ.
7. Пентест приложений, в частности WEB и мобильных ⎯ отдельно анализируются приложения организации. Рассматривать его не будем, потому что для прикладного ПО есть отдельные требования по ОУД4, которые перекрывают такой пентест с запасом.

Преимущества и недостатки

Из представленных выше вариантов характеристике «хорошо» явно не соответствуют первый (из-за низкой эффективности) и пятый (заказчики редко выбирают его). Кроме того, при внешнем пентесте объекты инфраструктуры тестируются скупо ⎯ только внешний контур, а в ходе пентеста с административными правами теряется суть пентеста. Последний вариант может быть актуален, например, при приемке работ от интегратора, когда надо сэкономить время, но для требований ЦБ он не подходит.

Социальная инженерия, как было сказано выше, не проверяет напрямую объекты инфраструктуры. Но вредоносная нагрузка или учетные данные пользователей позволяют развить векторы атак других вариантов. Таким образом, социальная инженерия имеет право на существование, но только не самостоятельно.

Вариант внутреннего пентеста по «серому ящику» включает максимальный объем работы со стороны тестировщика и подходит под требования ЦБ. Его можно комбинировать с внешним пентестом и социальной инженерией, но и сам по себе он презентативен. Так, методики тестирования PCI DSS подразумевают как раз доступ тестировщика к сети организации и такие пункты, как анализ трафика и API приложений, работающих внутри.

А вот популярный и самый дорогой Red Team под требования ЦБ не подходит. Ведь это то же соревнование CTF (Capture The Flag, захват флага), и целью красной команды является именно получение некоего флага — доступа к отдельному файлу или компьютеру, реже — к ресурсу. При этом нет времени на проведение полноценного анализа уязвимостей вне зависимости от того, можно их эксплуатировать или нет.

Доработка пентеста

Оптимальным вариантом с точки зрения ЦБ и потребностей банковского сектора является комбинированный тип ⎯ сочетание внутреннего пентеста по методу «серого ящика» и социальной инженерии. Его стоит дополнить внешним пентестом. Такой формат позволяет проанализировать уязвимости всей инфраструктуры изнутри и снаружи, что не может не соответствовать требованиям ЦБ. Дополнение тестирования социальной инженерией ставит работы на один уровень с реальной хакерской целевой атакой. Этот вариант также учитывает реальные потребности банковского сектора.

Для желающих сэкономить у большинства предоставляющих услуги пентеста есть вариант удаленного проведения работ с некоторыми оговорками, но результат получится аналогичный. Подобный формат обеспечивает максимальное покрытие области тестирования инфраструктуры банка и обрабатывает все варианты проникновения.