Что такое оценка защищенности и из чего она состоит
Эффективный подход к обеспечению бесперебойной работы сервисов компании предполагает не только развитие и поддержку ИТ-инфраструктуры, но и периодическую оценку ее защищенности. На практике оценка защищенности выглядит следующим образом: специалисты изучают системы, выявляют их уязвимости и разрабатывают отчет, в котором описывают выявленные проблемы и приводят рекомендации по их устранению.
Есть несколько основных режимов проведения оценки защищенности, отличающихся глубиной проработки различных аспектов: анализ защищенности, тестирование на проникновение (пентесты), red team и purple team. Рассмотрим каждый из них отдельно.
Анализ защищенности
Это поиск уязвимостей конкретной системы. Чаще всего такой анализ нужен компаниям, у которых есть сайт, мобильное или десктопное приложение. При проведении анализа защищенности мы смотрим, есть ли в системе уязвимости, которые позволяют потенциальному нарушителю получить доступ к инфраструктуре, на которой она развернута.
Кроме того, мы проверяем бизнес-логику: смотрим, нет ли у злоумышленников возможности сделать что-то не так, как это предполагается. Например, купить товар в интернет-магазине за 0 ₽, вывести средства другого клиента или получить информацию о том, кто и что покупает.
Тестирование на проникновение, или пентесты
Здесь другой фокус анализа: мы работаем непосредственно по инфраструктуре и не обращаем внимания на бизнес-логику. В первую очередь нас интересует, может ли взломщик, используя уязвимости, захватить сервер, на котором запущено приложение, проникнуть в сеть компании и провести дальнейшие атаки на ее инфраструктуру.
Тестирование на проникновение может быть внешним и внутренним — все зависит от модели нарушителя, от которого мы хотим защититься. Внешний нарушитель — это человек, который никак не связан с компанией и не имеет легитимного доступа к ее ресурсам. Внутренний — это субъект, у которого есть законный доступ к каким-то компонентам инфраструктуры. Как правило, здесь идет речь о сотрудниках компании.
Комплексное тестирование на проникновение предполагает комбинированную модель нарушителя: сначала мы работаем снаружи, пробиваем периметр, попадаем внутрь и смотрим, что нам доступно и какие возможности есть у потенциального нарушителя.
Red team и purple team
При проведении red team специалисты, как и при пентесте, стремятся построить цепочку атак, которая позволит проникнуть в сеть компании и реализовать недопустимые события. Ключевое отличие состоит в том, что сотрудники отдела ИБ этой компании не знают о проведении таких работ, а сами работы проводятся в режиме секретности. Если пентесты — это про технический уровень защищенности, то red team — это больше про проверку готовности отдела ИБ противостоять кибератакам.
Purple team — следующий шаг в эволюции пентестов, похожий на red team: атакующие строят цепочки атак, проверяют возможность реализации недопустимых событий, стараются проводить проверки незаметно для защитников. Отличие состоит в одном важном аспекте: если red team предполагает противостояние атакующих и защитников, то purple team предполагает их сотрудничество.
Безопасники общаются с аудиторами и узнают у них, что делали пентестеры: какие атаки они проводили, когда, какие были исходящие адреса, какие были целевые системы. Все это делается для того, чтобы сотрудники отдела ИБ могли понять, какие атаки они умеют обнаруживать, а где у них есть слепые пятна. УЦСБ, например, когда оказывает услугу в режиме purple team, дает также и развернутые консультации на тему того, как обнаружить выполненные атаки.
Как понять, какой анализ нужен
Нужно отталкиваться от задачи. Если нужно выявить уязвимости и проблемы в бизнес-логике конкретной системы, то потребуется анализ защищенности.
Если у вашей компании большая инфраструктура и вы хотите понять, защищена ли она от атак, проведите тестирование на проникновение.
Если для вашей компании пентесты уже не в новинку и вам мало просто определить технический уровень защищенности, а нужно проверить, как отлажена работа службы ИБ, процессы реагирования и мониторинга, то ваш выбор — услуга в формате red team или purple team.
Почему стоит заказывать оценку защищенности на аутсорсе
Есть организации с большими инфраструктурами, в которых работают свои отделы и команды по ИБ, но даже такие компании привлекают подрядчиков.
Во-первых, у штатной команды может замыливаться взгляд: когда годами проверяешь одну и ту же инфраструктуру, перестаешь замечать какие-то вещи в ней — она становится настолько привычной, что можно пройти мимо даже очевидных проблем.
Во-вторых, тестирование безопасности — в каком-то смысле творческая профессия, и у каждой команды есть свой стиль работы. Может сложиться так, что штатные сотрудники упускают какие-то аспекты просто в силу их стиля работы и профиля компетенций, а сторонняя команда с другим стилем обнаруживает это сразу. И это не значит, что одна команда хорошая, а другая плохая — они просто разные.
Поэтому внешние аудиты просто необходимы. Подрядчик с именем и опытом в сфере ИБ способен найти уязвимости, про которые внутренняя команда просто не подумала или которые оставались вне поля ее видения. Кроме того, в некоторых отраслях компании законодательно обязаны привлекать сторонние организации и проходить регулярные проверки.
В Центре кибербезопасности УЦСБ готовы оказать комплексную поддержку и помочь компании оценить уровень защиты и пройти государственные проверки, предоставить команду с набором необходимых компетенций для глубокой и продвинутой экспертизы.
Статью также можно прочитать на сайте CNews.