Пентест VS Аудит безопасности

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Мы часто сталкиваемся с ситуациями, когда заказчик (а часто бывает что и специалист по ИБ) не понимают разницы между тестированием на проникновение и аудитом ИБ. Поэтому сегодня мы поделимся своим опытом в области пентестов и аудитов безопасности. Также рассмотрим отличия между двумя понятиями.

Модель Шухарда-Деминга
Модель Шухарда-Деминга

Обеспечение информационной безопасности - это сложный и комплексный процесс. Пентест или аудит безопасности являются лишь частью общего цикла. Хорошим примером для понимания является модель Шухарда-Деминга (Plan-Do-Check-Act, PDCA). Информационная безопасность - это бесконечный процесс улучшения и обновления. После каждого выполненного мероприятия по безопасности необходимо проверять его эффективность и, при необходимости, модифицировать.

В случае с пентестом совершенно недостаточно найти уязвимости в безопасности  и получить рекомендации по их закрытию. Заказчику необходимо найти людей, которые эти уязвимости закроют и исполнят выданные рекомендации. По опыту можем сказать, что не все компании сразу могут выделить человеческие ресурсы. В некоторых компаниях безопасностью занимаются отдел ИТ или СБ, что является в корне неверным. Подробнее об этом в будущих статьях.

Когда security-команда долгое время закрывала закрывала глаза на дыры в безопасности
Когда security-команда долгое время закрывала закрывала глаза на дыры в безопасности

Пентест позволяет проверить эффективность тех или иных процессов безопасности, стремится показать реальную картину, но не позволяет увидеть в масштабе. По итогам пентестов руководство активизируется по вопросам защиты информации. Именно руководство больше всего заинтересовано в результатах пентеста - это позволяет понять текущие недоработки в системе безопасности огранизации.

В случае с аудитом безопасности ситуация иная (подчеркиваем, что имеется ввиду не аудит соответствия  стандартам). Здесь задача более обширная и требует большой экспертизы не только в программного-технической ИБ, но и в правовой и организационной. Аудит безопасности заключается в  перечислении всех бизнес процессов, уточнении информации о реализуемых инженерно-технических мерах, определении внедренных организационных и правовых мер, оценке зрелости компании с точки зрения ИБ по разным международным и отечественным стандартам и даже в проверке выполнения требований регулятора.

Аудит в таком контексте позволяет понять структуру организации, протекающие в ней процессы и их качество.

Целями такого мероприятия являются:

  1. Выявление сильных и слабых сторон в  организации ИТ инфраструктуры с точки зрения ИБ;

  2. Определение  приоритетности решаемых задач на основании модели угроз и модели злоумышленника;

  3. Построение дорожной карты или корректировка существующей для развития ИБ в организации.

По итогам аудита формируется подробный отчет с высокоуровневым описанием всех ИБ и ИТ процессов компании с рекомендациями по их улучшению с точки зрения безопасности.

Методологии

Существуют разные методологии и подходы как для пентестов, так и для аудита безопасности. Цели и подходы существенно различаются для каждого из мероприятий. Методологии позволяют специалистам двигаться в общепринятом направлении и использовать лучшие мировые практики.

Изучаешь best practise
Изучаешь best practise

Пентесты

В ходе пентестов мы ориентируемся на различные стандарты и методологии, такие как WSTG от OWASP для веба и на OSSTM для внутрянки и беспроводных сетей. Существуют также и другие стандарты по пентестам, обзорно рассмотрим их ниже. И, конечно же, мы пользуемся собственными наработками и шпаргалаками.

  1. WSTG

    Актуальная версия документа  4.2 доступна на сайте проекта. WSTG предоставляет пентестеру пошаговую инструкцию (читай шпаргалку) для анализа защищенности веб приложений. Включает в себя вопросы:

  1. Сбора информации;

  2. Тестирование конфигураций;

  3. Тестирование авторизации и аутентификации;

  4. Тестирование проверок пользовательского ввода;

  5. Тестирование бизнес-логики, криптографии, API и другое.

WSTG предоставляет читателям информацию о том, как тестировать уязвимости методами черного и серого ящика с использованием готовых примеров.

  1. OSSTM

    Представляет из себя открытый документ под редакцией института безопасности и открытых технологий (ISECOM). Интересно, что в этом документе отдельно выделяются вопросы тестирования физической безопасности, беспроводных сетей, сетей обработки данных, человеческого фактор и вопросы обеспечения регулятивных требований.

  2. PTES

    Методология PTES предлагает более общий и комплексный подход к формированию гайдлайна. Что примечательно, в тексте PTES указано довольно много векторов по сбору информации (Intelligence Gatheting), пост-эксплуатации (Post Exploation), хорошо сформулирована структура отчета (Reporting).

  3. NIST Technical Guide to Information Security Testing and Assessment

    Многим известный  национальный институт стандартов и технологий (NIST) также опубликовал технический документ по проведению пентестов. В тексте публикации описаны подходы и методы к проведению пентестов, в их числе сканирование сети на уязвимости (проводной/беспроводной), проведение социальной инженерии, приведены стадии тестирования на проникновения, и, конечно же, даны рекомендации по написанию отчетов.

  4. ГОСТ Р 58143-2018. Методы и средства обеспечения безопасности. Часть 2. Тестирование на проникновение

    Этот высокоуровневый документ основан на международном стандарте ISO/IEC TR 20004:2015 “Информационная технология. Методы и средства обеспечения безопасности.  Детализация анализа уязвимостей программного обеспечения в соответствии с  ИСО/МЭК 15408 и ИСО/МЭК 18045" (ISO/IEC TR 20004:2015”.

    ГОСТ приводит рекомендации по стадиям тестирования на проникновение (планирование, разработка тестов, проведение тестировования,  разработка отчетности).

    Также представлен порядок действий по тестированию на проникновение в соответствии с различными потенциалами атакующего.

Аудиты

А если речь заходит об аудите безопасности или оценки зрелости компании, то можно ссылаться на лучшие практики CIS Controls (используем 8 версию), а также на фреймворк COBIT. В этих документах содержатся модели опрееления уровня зрелости организаций с неформальным описанием. Наша работа во многом проходит по методологии CIS Controls. Рассмотрим подробнее модели определения зрелости для аудита безопасности.  Ниже вольный перевод вставок из англоязычного текста.

В соответствии с уровнями CIS и Cobit можно оценить уровень зрелости ИБ в компании и дать формализованную оценку.

Методология CIS

Методология CIS является открытым сборником лучших практик по защите информации. Документ основан на практическом опыте мировых экспертов в области информационной безопасности. Стандарт содержит 18 направлений вопросов для определения зрелости организации. Перечень критериев оценки зрелости компании формируются на основании подобия к одному из трёх основных типов организаций (IG1, IG2, IG3):

Стандарт COBIT

Этот стандарт представляет из себя универсальную модель оценки системы управления ИТ. Отдельно выделяется раздел связанный с информационной безопасностью “COBIT for Information Security”. Безопасности посвящен отдельный документ, который использует понятие “факторы влияния” для обеспечения информационной безопасности. Последний раздел документа посвящен адаптации COBIT для корпоративной среды. Стандарт выделяет 4 уровня зрелости:

  1. уровень зрелости в ИБ:

    ИБ никто не занимается; руководство не осознает важности проблем ИБ; дополнительное финансирование ИБ отсутствует; ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

  2. уровень зрелости в ИБ:

    ИБ рассматривается руководством как чисто «техническая» проблема; отсутствует единая концепция или политика развития системы обеспечения информационной безопасности (СОИБ) компании; финансирование ведется в рамках общего ИТ-бюджета; ИБ реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты.

  3. уровень зрелости в ИБ:

    ИБ рассматривается руководством как комплекс организационных и технических мероприятий; существует понимание важности ИБ для производственных процессов; есть утвержденная руководством программа развития СОИБ компании; финансирование ИБ ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO, PKI и организационные меры.

  4. уровень зрелости в ИБ:

    ИБ является частью корпоративной культуры; назначен CISA (ответственный за организационную ИБ) и CISO (назначен ответственный за техническую ИБ); финансирование ведется в рамках отдельного бюджета; информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты информационной безопасности), SLA (соглашение об уровне сервиса).

Дополнительно по аудиту

Также в качестве рекомендаций советуем серию ISO 27000.

  1. ГОСТ Р ИСО/МЭК 15504-2009. “Проведение оценки”. Эталонная модель зрелости компании. Содержит 9 частей.

  2. ГОСТ Р ИСО/МЭК 19011-2021. “Руководящие указания по проведению аудита систем менеджмента”;

  3. ГОСТ Р ИСО/МЭК 27000-2012. “Системы менеджмента информационнной безопасности. Общий обзор и терминология”;

  4. ГОСТ Р ИСО/МЭК 27001-2006. ”Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности”;

  5. ГОСТ Р ИСО/МЭК 27007-2014. “Руководство по аудиту систем менеджмента информационной безопасности”;

Коммуникации с заказчиком

Процесс интервью во время аудита безопасности
Процесс интервью во время аудита безопасности

Еще одна отличительная черта между пентестом и аудитом безопасности заключается в процессе коммуникации с ответственным лицом.

В ходе пентеста нет постоянного взаимодействия с заказчиком. Иногда можно ключевые моменты. Все обговаривается на этапе подписания договора, а также перед отправкой на печать финальной версии отчета, когда заказчик вносит свои правки и рекомендации. В остальном же пентестер предоставлен сам себе и не может консультироваться с заказчиком о выборе конкретных целей и выбора уязвимых мест и модулей.

Во время аудита происходит постоянный диалог с руководителями подразделений, уточняется информация о процессах. Также во время аудита проводится интервьюирование сотрудников организации. Этот процесс позволяет проверить информацию, которую предоставляют руководители подразделений. Общение с рядовыми сотрудниками позволяет осуществить зрез знаний и определить общий уровень осведомленности в области ИБ.

Аудитору безопасности необходимо обладать развитыми софт-скиллами. Без прокачанного навыка красноречия и навыка понимания людей невозможно будет получить нужную информацию. Для некоторых сотрудников интервью является сильнейшим стрессом. Они могу закрыться в себе и отвечать на вопросы некорректно. Задача аудитора здесь заключается в создании благоприятной и спокойной обстановки.

Итоги

Как было озвучено ранее, пентест и Аудит ИБ являются неотъемлемой частью общего процеса обеспечения информационной безопасности. Аудит позволяет задать вектор движения для развития. Пентест же  позволяет проверить насколько успешно выполняются процессы по реализации установленного вектора и насколько эффективно работает отдел информационной безопасности (если он конечно имеется). Начинать защищать информацию необходимо с Аудита ИБ. Этот шаг позволит Вам понять текущее состояние организации.

Пентест - лишь верхушка айсберга, он не позволяет увидеть всю картину в масштабе и ставит своей целью проверить техническую составляющую процесса защиты информации.

Аудит безопасности является более широким понятием. Он  важен в первую очередь руководителям организаций, поскольку в результате складывается понимание о зрелости и о тенденциях к развитию.

Имеются гайдлайны и стандарты как для пентестеров, так и для аудиторов безопасности. В таких документах описаны лучшие практики от специалистов со всего мира. Компетентный аудитор обязан ссылаться на стандарты и лучшие практики.

Для проведения аудитов безопасности необходимо иметь фундаментальные знания как в IT сфере, так и в сфере безопасности. Необходимо иметь комплексное и стратегическое мышление для построения будущей системы безопасности.

Источник: https://habr.com/ru/post/663280/


Интересные статьи

Интересные статьи

Пандемия и связанные с ней экономические потрясения дали толчок к появлению технологических инноваций, в том числе к масштабным прорывам в сферах облачных и периферийных систем. Давно устоявшиеся комп...
Привет! Меня зовут Саша Шутай, я тимлид в AGIMA. В прошлой статье я рассказывал, что делать, если на проекте Bitrix сожительствует с Vue.js и поисковые боты не видят контента сайта. А в этой помогу ра...
Перевод статьи подготовлен специально для студентов курса «Безопасность Linux». Читать первую часть 5. Не оставляйте чувствительные данные в образах Docker Иногда при создании приложения в...
Вам приходилось сталкиваться с ситуацией, когда сайт или портал Битрикс24 недоступен, потому что на диске неожиданно закончилось место? Да, последний бэкап съел все место на диске в самый неподходящий...
Warning! Дабы заранее предупредить различные вопросы, а также обеспечить удобство чтения, далее — небольшой дисклеймер: всё, что будет написано далее — основано на личном и субъективном опыте, в...