29.03.2024Каждая компания рано или поздно сталкивается с необходимостью проведения анализа защищенности информационной инфраструктуры и ведения постоянного контроля защищенности внешнего периметра. Данная необходимость может быть обусловлена как требованиями регуляторов, так и тем, что периметр организации постоянно изменяется, т. к. появляются новые сервисы и приложения, что дает злоумышленникам возможность использовать новые векторы атак. По данным исследования ГК «Солар», внешний ИТ-периметр удается преодолеть в 88% случаев, а 87% всех обнаруженных уязвимостей отмечены низким уровнем сложности (это означает, что не требуется специальных условий или знаний, чтобы проникнуть в ИТ-инфраструктуру компании).
Одним из способов организации процесса обнаружения и дальнейшего устранения слабых мест во внешней инфраструктуре является использование сервисов непрерывного тестирования на проникновение – Continuous Penetration Testing (далее СРТ). СРТ – это сервис, который позволяет проводить непрерывные проверки защищенности, похожие на действия специалистов по тестированию на проникновение, что позволяет получать результаты на регулярной основе.
Разберемся, что это за сервис, зачем он нужен бизнесу, как применяется и с помощью каких инструментов реализуется.
Что такое Continuous Penetration Testing (CPT)
CPT с английского переводится как непрерывное тестирование на проникновение. Как сервис, CPT направлен на проверку защищенности внешней ИТ-инфраструктуры организации.
В сервисе СРТ применяется комплекс эффективных методик выявления технических уязвимостей и недостатков, присутствующих на объектах внешнего периметра ИТ-инфраструктуры. По результатам формируются рекомендации по устранению обнаруженных уязвимостей и снижению потенциального ущерба, который злоумышленники могут нанести компании.
Отличительной особенностью сервиса, по сравнению с классическими системами выявления уязвимостей, является алгоритм поиска уязвимостей, который в автоматизированном режиме повторяет действия специалистов по тестированию на проникновение и дальнейший ручной анализ найденных недостатков и позволяет более тщательно проверить выявленные уязвимости и убрать возможные ошибки. В результате вы сможете оценить, как выглядит ваш периметр, какие сервисы, уязвимости и недостатки могут быть доступны злоумышленникам, а также понять, насколько легко можно проникнуть во внутренний периметр вашей организации, получить доступ к конфиденциальным данным или воспользоваться расширенными привилегиями в критической инфраструктуре. Более подробно о действиях хакеров можно прочитать в экспертном блоге Solar 4RAYS.
Тестирование называется непрерывным, поскольку в период работы сервиса автоматизированные инструменты регулярно сканируют внешний ИТ-периметр, выявляя недостатки и уязвимости, а также возможные критичные сервисы. Таким образом, платформа Solar CPT становится важным источником получения информации о новых сервисах, уязвимостях и публикациях, что дает возможность заранее исправлять недостатки.
Периодичность проведения проверок может быть оптимизирована с учетом потребностей и бюджета заказчика, но необходимо отметить, что слишком редкие и/или частичные проверки не позволят обеспечить должный уровень контроля состояния защищенности внешнего периметра
Зачем Continuous Penetration Testing нужен бизнесу
Необходимость непрерывного мониторинга внешнего ИТ-периметра продиктована стабильным ростом ландшафта угроз, расширением арсенала используемых злоумышленниками инструментов, внедрением передовых технологий и решений в ИТ-инфраструктуру, усложнением логики взаимодействия бизнес-сервисов и т. д.
В каких случаях Continuous Penetration Testing необходим:
- Если компания располагает ценными активами и хочет надежно защищать конфиденциальные данные, ключевые объекты информационной инфраструктуры. Непрерывное тестирование поможет обнаружить пробелы в безопасности и пересмотреть комплекс мер защиты внешнего периметра.
- Если происходят регулярные изменения в информационной инфраструктуре организации, в результате чего могут возникнуть уязвимости, большинство из которых никак себя не проявляют.
- Если организация работает в сфере, которая представляет особый интерес для мошенников, например в финансовой. Высокие риски безопасности можно минимизировать, выстроив надежную защиту внешнего периметра, основываясь на результатах тестирований и экспертных рекомендациях.
- Если в организации уже происходили инциденты безопасности, связанные с хакерскими атаками.
И наконец, Continuous Penetration Testing – эффективная мера профилактики атак на организацию. Чем выше осведомленность о состоянии безопасности сетевых систем, служб и используемых приложений, тем ниже риски инцидентов.
Преимущества Continuous Penetration Testing:
- Экономическая эффективность.
Во-первых, сервис позволяет экономить на частоте проведения ручных проектов по тестированию на проникновение и взять лучшее от двух подходов – автоматизированного и ручного (например, проводить экспертные тестирования на проникновения 1–2 раза в год и между ними – оценку с помощью сервиса). Во-вторых, получать информацию о новых сервисах и недостатках до того, как ими воспользуются злоумышленники. - Постоянный контроль защищенности.
Дает представление о содержании и защищенности внешнего периметра в условиях меняющейся инфраструктуры и позволяет выявлять проблемы при публикации новых сервисов и приложений. - Возможность проактивного устранения факторов риска.
CPT позволяет обнаруживать возможные точки входа для злоумышленников и формировать детальное представление об уровне безопасности информационной среды. Такой подход помогает выстраивать стратегию защиты от угроз, предупреждать потенциальные инциденты.
Как работает Continuous Penetration Testing
Сервис СРТ начинается со сканирования периметра организации, в ходе которого собирается информация о текущих компонентах ИТ-инфраструктуры (IP-адреса, инфраструктурные сервисы, доменные имена, веб-приложения). Как правило, уже на этой стадии вы получаете достоверные данные о составе периметра вашей организации, что дает возможность оценить масштаб неучтенных ИТ-активов.
На следующем этапе полученные данные уточняются специалистом вашей компании и определяется перечень компонентов, которые необходимо мониторить. Автоматизированные инструменты сервиса объединены собственной методикой ГК «Солар» и импортированы в платформу Solar CPT собственной разработки, утилиты и инструменты настроены исходя из опыта пентестеров и работают с заданной периодичностью и настройками «под клиента».
Результаты работы платформы передаются на анализ пентестерам, которые проводят речек (от англ. recheck – перепроверить) на false-positive (от англ. – ложные срабатывания). Также в ходе анализа проверяются связи уязвимостей на ресурсе. Если такие связи находятся, то по согласованию с ответственными лицами вашей компании проводится цепочка атак и демонстрация того, что могло бы произойти, если данные уязвимости были найдены хакерами.
Какие существуют альтернативы сервису СРТ
Процесс Continuous Penetration Testing можно построить внутри компании, используя специальные сканеры и трактуя результаты исследования силами специалистов компании. Но у этого варианта есть подводные камни. Во-первых, сканеры часто предоставляют избыточную информацию, отвлекающую внимание от главного – обнаруженных проблем. Во-вторых, в штате должен быть специалист, который сможет верифицировать полученные данные. При таком подходе компания несет затраты на ФОТ специалиста и на лицензии коммерческих сканеров, что значительно превышает стоимость годовой подписки на сервис СРТ.
Также можно периодически заказывать услугу Pentest (далее – пентест). Она подразумевает, что независимые эксперты («белые хакеры») будут выполнять тестирование на проникновение с использованием специализированного инструментария и методик тестирования. Однако одного-двух базовых пентестов в год недостаточно для поддержания стабильно высокого уровня безопасности, поскольку в промежуток между проверками в ИТ-инфраструктуре могут произойти изменения – не обязательно глобальные, достаточно просто ввести в эксплуатацию новый сервис или поменять настройки инструментов защиты. В таких случаях уязвимости появляются незаметно для компаний, а злоумышленники могут успеть ими воспользоваться. Стоит отметить и экономическую целесообразность – один проект по пентесту может быть сопоставим по стоимости с годовой подпиской на сервис CPT, и не каждая компания готова заказывать такую услугу двенадцать раз в год, чтобы обеспечить полный контроль внешнего периметра организации.
Платформа Solar СРТ обладает всеми преимуществами услуг по анализу защищенности и сканеров, при этом не имеет их недостатков. В первую очередь сервис CPT удобно эксплуатировать, поскольку вручную проверенные результаты тестирований будут визуализированы в личном кабинете, следовательно, не придется самостоятельно собирать отчеты с каждого сканера и приводить их к единому формату. Во-вторых, пользоваться сервисом выгодно, потому что не придется платить за каждую проверку специалистам за анализ собранных данных, нести дополнительные затраты на лицензии коммерческих сканеров, закупать дополнительное оборудование (в Solar CPT процесс мониторинга осуществляется на ресурсах ГК «Солар»).
Заключение
Для проактивного поиска угроз можно использовать удобный и продуманный сервис Solar CPT, представленный в линейке продуктов центра противодействия кибератакам JSOC. Continuous Penetration Testing реализуется командой высококвалифицированных пентестеров, на счету которых уже более 350 реализованных проектов. Члены команды Solar CPT участвуют в международных соревнованиях по хакингу, регулярно совершенствуют свои навыки и смогут защитить внешний ИТ-периметр вашей компании от кибератак.
Чтобы составить более детальное представление о работе Solar CPT, можно запросить демонстрацию сервиса. Эксперты покажут, как именно реализуется сервис, как выглядит отчетность об обнаруженных проблемах и рекомендации. Также со специалистами центра кибербезопасности можно обсудить стоимость эксплуатации платформы, которая индивидуально рассчитывается в зависимости от частоты ручных проверок и количества исследуемых объектов корпоративной ИТ-инфраструктуры.
