Разведка боем

Светлана Архипова, руководитель направления инфраструктурной безопасности и ИБ-мониторинга, группа компаний QIWI

Для большинства крупных компаний, особенно относящихся к финансовому сектору, тестирование на проникновение является обязательным мероприятием, обеспечивающим соответствие требованиям регуляторов. Рассмотрим два подхода к тестированию на проникновение, плюсы и минусы каждого из них.

Классика жанра

Большинство предприятий используют «классический» подход к тестированию на проникновение. В рамках данного сценария область тестирования, методы и последовательность действий шаблонизированы и регламентированы. Время тестирования согласуется с заказчиком (например, атаки должны осуществляться лишь в рабочее время, когда сотрудники, ответственные за безопасность и администрирование, находятся на месте). Атакующая сторона зачастую добавляется в белые списки, обеспечивается отсутствие блокировок и противодействия службы безопасности вторжению.

Безусловно, «классический» подход имеет свои плюсы:

  • чаще всего тестирование на проникновение практически не влияет на стабильность внутренних и клиентских систем;
  • распределение ответственности между участниками информационных отношений;
  • благодаря детальному согласованию всех мелочей аномалии, связанные с проведением тестирования, и действительно подозрительные события легко дифференцируются;
  • на службу безопасности и смежные технические подразделения не ложится излишняя нагрузка.

Однако «классический» метод не свободен от существенных недостатков:

  • крайне редко тестируется все – как правило, область тестирования четко определена, и тестировщики не выходят за ее пределы. При этом обычно используются лишь методы, применимые к информационным системам;
  • набор инструментов, как правило, является типовым. Используется один или несколько сканеров уязвимостей, а аналитики обрабатывают результаты их работы и согласуют применение каждого метода эксплуатации уязвимостей;
  • компании зачастую относятся к тестированию на проникновение исключительно как к процессу обеспечения номинального соответствия стандартам, а не реальной оценки своего уровня защищенности.

В результате при использовании этого типа тестирования эмулируемые атаки оказываются абсолютно не похожими на то, что можно наблюдать при реальном проникновении злоумышленников в корпоративную сеть.

Путь Red Team

Группа компаний QIWI решила пойти иным путем. На протяжении двух лет она создавала собственный Security Operations Center (SOC), который в начале года получил премию GlobalCIO «Проект года 2015» как самое масштабное решение по информационной безопасности. SOC – это не просто комплекс технических решений, но и поддержка постоянного совершенствования правил и процессов реагирования. А в качестве метода тестирования на проникновение был выбран Red Team, который позволяет моделировать ситуации, максимально похожие на реальные инциденты.

Изначально термин Red Team появился в военной области. Он определяет «дружественного» атакующего, цель которого – захватить базу или украсть критически важную информацию (шифроблокноты, оборудование и т.п.). Накопленный военными опыт сейчас активно переносится на информационные системы – от игр Capture The Flag, которые проводятся на тренингах по практической безопасности, до корпоративного тестирования на проникновение.

Отличительными особенностями подхода Red Team являются полное отсутствие ограничений к вторжению в систему (от внешних атак до физического проникновения в офис предприятия) и ограничений по времени суток (атаки могут проводиться не только в дневное, но и в ночное время и выходные).

Со стороны атакующих действует команда, состоящая из специалистов с экстремально высокой квалификацией – «белых» хакеров. В процессе тестирования удается добиться полной эмуляции реального проникновения злоумышленников в системы компании, а после окончания исследования – получить детальный отчет о найденных «дырах».

Задача защищающейся стороны, собственно, и состоит в защите системы компании. Эту сторону не оповещают ни о старте, ни об окончании тестирования – в лучшем случае примерно известен месяц начала тестирования. При срабатываниях систем мониторинга защищающаяся сторона не знает, реальная это атака или «дружественная», поэтому отработка инцидентов идет по худшему сценарию. Достаточно часто системы безопасности приходится переконфигурировать и дорабатывать на лету, в жестком режиме. Например, если фиксируется аномальное поведение какого-либо сегмента, а правила «молчат», начинается ручной поиск аномалий на основе «сырых» данных, поступающих из систем безопасности. Иногда такой анализ доходит до уровня форензики (компьютерной криминалистики).

Наконец, в команде, обеспечивающей безопасность сети, обычно присутствует инсайдер – как правило, CISO компании. Он осуществляет контроль над атакующими и иногда дает подсказки (т.е. некоторые ограничения в подходе Red Team все же используются), а кроме того, следит за реакциями команды защиты (или отмечает их отсутствие).

Отметим плюсы такого подхода. Обеспечивается отличное покрытие внутренних процессов и систем. Удается понять, например, чем на самом деле опасен старый сервер, который все боятся обновить или выключить. Под тестирование подпадают не только ИТ-системы и технические средства безопасности (так, можно узнать много нового о системах видеорегистрации и методах физического проникновения в офис), но и самое слабое звено любой системы – люди. Появляется возможность протестировать квалификацию команды информационной безопасности и все используемые средства (правда, есть опасность разочароваться в вендорах и поведении систем под большой нагрузкой). А применение реально работающих методов проникновения позволяет выявлять «дыры» и принимать соответствующие меры прежде, чем этими «дырами» воспользуются «недружественные» злоумышленники.

Естественно, без недостатков тоже не обойтись:

  • Red Team может достаточно серьезно влиять на доступность систем (вплоть до переустановки серверов в случае компрометации). Это обязательно нужно учитывать и согласовывать с подразделениями компании – например, с ИТ-департаментом;
  • объектами атак являются не только системы, но и сотрудники. Могут применяться как банальный перебор паролей (с последующей блокировкой УЗ пользователей, в том числе топ-менеджмента), так и методы социальной инженерии. Если в компании недостаточно простроены процессы, обеспечивающие повышение уровня осведомленности сотрудников, это может вызвать у них негативную реакцию;
  • вторжения происходят круглосуточно, в режиме 24х7, несколько месяцев подряд. Во время активной фазы тестирования и отражения атак нагрузка на команду защиты возрастает в несколько раз, и порой приходится работать «на износ».

Как это было

Первое тестирование в формате Red Team группа компаний QIWI проводила с декабря 2014 г. по март 2015 г. Это тестирование стало и первым испытанием ее Information Security Operations Center.

В роли нападающей (Red) команды выступили пентестеры Onsec и Digital Security, в роли защищающейся (Blue) команды – отдел информационной безопасности ГК QIWI, а инсайдером стал CISO компании QIWI. В область тестирования вошло всё и все.

Условием победы команды атакующих было выполнение одного из следующих условий: получение прав доменного администратора, получение привилегий уровня root на критически важных *nix-подобных системах, получение доступа к критически важным конфигурационным единицам, создание учетной записи в базе данных с правами процессингового приложения или администратора БД. Цели защищающихся были такими: зафиксировать 90% атак техническими средствами SOC и добиться максимально оперативного реагирования на инциденты.

Для команды обеспечения безопасности 2,5 мес. тестирования стали периодом непрекращающейся головной боли. Пришлось отражать перебор паролей, который вызвал блокировку учетных записей всех пользователей, ловить хакеров в офисе, находить «потерянные» устройства, отказывать в подтверждении странных запросов на согласование доступа, экстренно отключать системы и каналы, часами заниматься логами и оповещениями систем информационной безопасности, а порой – и записями с систем видеонаблюдения.

Пара слов – о результатах. Система ISOC, тестировавшаяся впервые, позволила зафиксировать только 70% атак. Наиболее существенные из выявленных упущений – конфигурационные ошибки при вводе в домен рабочих станций под управлением Mac OS X и недостаточный уровень осведомленности пользователей в вопросах социальной инженерии и фишинга. Разочаровала исследователей и производительность некоторых компонентов ISOC при работе под нагрузкой. Устранение выявленных недочетов заняло около 5 мес.

Однако с точки зрения обеспечения безопасности польза от тестирования оказалась весьма значительной. В первую очередь, удалось получить свежее представление о защищенности компании, как бы взглянув на нее со стороны. Это стало сильной встряской и показало те проблемы, которые не были видны при самостоятельном обследовании. Кроме того, существенно повысился уровень квалификации всех технических команд – разработки, эксплуатации и информационной безопасности. Были протестированы планы реагирования на инциденты, восстановления и общая отказоустойчивость.

По результатам тестирования на проникновение были пересмотрены имеющиеся инструменты и качество их работы, подключены недостающие источники данных и отключены избыточные. Явный бонус – появление в системах QIWI цепочек событий, позволяющих однозначно определять инциденты и разрабатывать соответствующие правила для раннего обнаружения таких вторжений. Наконец, резюмируем: да, обеспечить 100-процентную безопасность невозможно, но если относиться к тестированию серьезно и делать шаги по устранению «дыр», можно существенно повысить стоимость атак на вашу организацию и свести их успешность к минимуму.

Тэги: 
Оцените материал:
Total votes: 40

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.