Обеспечение безопасности с помощью эффективного теста на проникновение 

 
Download Article

Весной и летом 2010 года команда из восьми человек усердно трудилась над достижением одной общей цели: проникновение в компьютерную сеть правительства штата Колорадо, США. Они работали днем и ночью, пытаясь взломать компьютерные системы штата, модемы, беспроводные сетевые устройства и 67 000 IP-адресов, чтобы получить доступ к персональным данным, важной и конфиденциальной информации.

И вот однажды эта команда наконец добилась успеха. Общедоступный веб-сайт одного из агентств правительства штата был настроен неправильно, и это позволило взломщикам увидеть все файлы, находящиеся на сайте, среди которых был и файл под названием «upload.html». Выявив в считаные минуты этот файл, взломщики загрузили программное обеспечение, которое позволило им получить администраторский доступ к внутренней сети агентства, защищенной межсетевым экраном. Дальнейшее зависело уже от того, насколько быстро они сумеют проникнуть во взаимосвязанные системы и получить искомую информацию, чтобы затем нацелиться на новый объект в сети другого учреждения штата. На рис. 1 показано, как взломщикам удалось преодолеть межсетевой экран агентства и атаковать внутреннюю сеть учреждения.

рис. 1

Но, к счастью для штата Колорадо, «взломщики» не были профессиональными хакерами. Скорее наоборот: это были три ИТ- аудитора, сотрудники Аудиторского офиса штата Колорадо (OSA), и еще пять специалистов по компьютерной безопасности, работающих по контракту с OSA. Задача группы сотрудников OSA состояла в проведении секретного широкомасштабного тестирования на проникновение, которое позволило бы оценить, насколько серьезен для штата риск взлома его сети злоумышленником и какие меры следует принять для предотвращения подобных атак.

За шесть месяцев тестирования команда специалистов взломала несколько компьютерных сетей и систем правительства штата и получила несанкционированный доступ к тысячам индивидуальных записей, включая записи, содержащие такие конфиденциальные данные, как номера социального страхования США, сведения об уровне доходов, даты рождения и контактная информация. Взломщики также получили доступ к именам пользователей и паролям, принадлежащим государственным служащим и другим людям. Подсчет, произведенный на основании средних данных по стране, показал, что затраты на исправление последствий утечки информации такого масштаба по вине злоумышленника могут обойтись государству в сумму от 7 до 15 миллионов долларов1. В этот предварительный подсчет не входят убытки отдельных граждан, чьи персональные данные могли быть украдены. В результате аудита выяснилось, что государственные информационные системы подвергаются высокому риску взлома и кражи данных со стороны злоумышленников, находящихся как в стране, так и за ее пределами.

В обнародованном в ноябре 2010 года отчете OSA были опубликованы общие результаты теста на проникновение2 . Кроме того, были составлены конфиденциальные отчеты, содержащие особые подробности результатов теста, которые OSA предоставил отдельным государственным агентствам, чьи системы и защищенная информация подверглись взлому. Это один из первых случаев, когда все правительственные организации штата были подвергнуты такой широкомасштабной процедуре по выявлению уязвимостей в системе безопасности ряда важнейших ресурсов. Тест также показал, насколько успешно ИТ-персонал разных учреждений реагировал на имитированные атаки. Ни одну задачу не сочли малозначимой; проникновение в индивидуальные электронные почтовые ящики было не менее важной задачей, чем попытка украсть защищенные налоговые данные из базы данных агентства. Успешное проникновение в критически важные ресурсы помогло выявить уязвимости, которые могли бы стать объектами атаки для настоящих хакеров.

ПРЕИМУЩЕСТВА ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ

Скрытое широкомасштабное тестирование на проникновение может оказаться для органов государственного управления, частных компаний и других национальных и международных организаций эффективным инструментом, помогающим определить, насколько защищены их важнейшие ресурсы. По данным Национального института стандартов и технологий США, скрытое тестирование защищенности предназначено скорее для «анализа величины ущерба или меры отрицательного воздействия со стороны злоумышленника», нежели для выявления отдельно взятых уязвимостей3. Так, например, скрытые тесты на проникновение «не проверяют каждую защитную меру, не выявляют каждую уязвимость и не анализируют все системы внутри организации»4. Благодаря своим особенностям эти тесты могут предоставлять различные преимущества, о которых мы поговорим в следующих разделах.

Фактор внезапности
Скрытое тестирование на проникновение обладает чрезвычайно важным преимуществом — фактором внезапности, ведь сотрудники службы ИТ, которые должны реагировать на взлом системы или утечку данных, не знают, что этот взлом является тестом. Ограниченные заранее объявленные тесты на проникновение обычно сосредоточены на отдельно взятых системах и проводятся под бдительным наблюдением ИТ- персонала организации, тогда как широкомасштабные скрытые тесты на проникновение могут включать в себя неограниченный диапазон действий и происходить без ведома лиц, ответственных за учет обращений к системе и защиту данных. В Колорадо только руководитель государственной службы информационной безопасности и другие сотрудники руководящего звена были осведомлены о тестировании и уполномочили OSA имитировать атаки на важнейшие государственные ресурсы.

«Скрытое тестирование на проникновение позволило властям штата Колорадо оценить, насколько эффективны контроль за приложениями, сетевыми узлами и сетью и процесс обнаружения аномальных и злонамеренных действий. Это тестирование выявило слабые места в нашей практике реагирования на компьютерные инциденты в масштабах всего штата и округа, — заметил Трэвис Шэк (Travis Schack), руководитель службы информационной безопасности штата Колорадо. — Объявленное тестирование не смогло бы предоставить столь объективные и точные данные, касающиеся тех областей, в которых нам необходимо повысить уровень технических возможностей и эффективность процессов, а также степень подготовки и осведомленности пользователей об их роли и ответственности в отношении информационной безопасности».

Важно не забывать, что профессиональные хакеры не будут предупреждать о готовящейся атаке. В армейских кругах США распространена идея о том, что солдаты ведут себя в бою так же, как во время учений. Подобную теорию следовало бы применить и к сотрудникам службы информационной безопасности. Лучше всего, когда учения как можно больше напоминают реальный ход событий.

Что побуждает руководителей обращать особое внимание на уязвимости в области информационной безопасности
Специалисты, проводящие объявленные тесты на проникновение, часто останавливаются на достигнутом, как только взлом системы состоялся. Обычно они подтверждают свое успешное проникновение с помощью скриншотов взломанных систем или оставляют текстовый файл, информирующий об их присутствии. Недостаток такого подхода в том, что он не дает увидеть в полной мере, каким могло бы быть на самом деле отрицательное воздействие на организацию, в случае если бы она стала жертвой хакерской атаки. В результате ответственные руководители зачастую не понимают всех возможных последствий и осложнений для бизнеса, которые могут возникнуть, если игнорировать уязвимости систем информационной безопасности. Как отмечается в статье журнала ISACA An Introduction to the Business Model for Information SecurityВведение в бизнес-модель информационной безопасности»), рассматривающей данное явление, руководители службы информационной безопасности «обсуждают отдельные угрозы, риски, меры управления и технологии, в то время как руководители коммерческих отделов говорят о затратах, эффективности производства и окупаемости инвестиций»5.

Команда OSA решила максимально воспользоваться скрытым характером данного тестирования и продемонстрировать на деле, что могло бы случиться, если бы настоящие хакеры захотели проникнуть в государственные системы. Получив доступ в сеть или систему, члены команды не останавливались на достигнутом. Они также постарались «украсть» как можно больше персональных данных, тайных коммерческих сведений и другой конфиденциальной информации, чтобы подсчитать, какие убытки понесло бы государство в случае настоящей хакерской атаки. Оказалось, что информация об «украденных» сведениях о налогоплательщиках и о том, что устранение последствий настоящей утечки данных может обойтись государству в миллионы долларов, выглядит для чиновников штата намного убедительнее, чем технический анализ уязвимостей.

«Когда человек теряет кошелек, он понимает величину ущерба и обычно замечает пропажу», говорит Трэвис Шэк. Большинство людей не разбираются в вопросах информационной безопасности и не понимают, какой ущерб подобный инцидент способен причинить их бизнесу. Обычно в этом виноваты специалисты службы безопасности, которые не умеют как следует продемонстрировать потенциальный ущерб и объяснить, что риски для безопасности — это и бизнес-риски».

Более широкое представление об уязвимостях в области информационной безопасности
рис. 2Широкомасштабное тестирование на проникновение позволяет организации проверить все три столпа информационной-безопасности — людей, процессы и технологии. Тем самым оно предоставляет более подробные сведения относительно обстановки в области информационной безопасности в данной организации. Некоторые специалисты уверены, что стратегическое интегрирование этих трех столпов в политику обеспечения информационной безопасности поможет достичь эффективного уровня защиты6. В Колорадо команда OSA атаковала все три составляющих ИТ-безопасности штата (рис. 2).

К примеру, путем фишинга команда OSA получила действующие имена пользователей и пароли служащих и использовала их для имитации злонамеренных действий. Команда OSA подвергла испытанию процессы защиты, предприняв попытки обойти защитные барьеры или системы контроля как в 18 физических офисах и государственных зданиях, где располагалось компьютерное оборудование или документы, содержащие конфиденциальную информацию. Работа взломщиков оказалась настолько успешной, что физическая защита штата была оценена как зона повышенного риска.

Во время тестирования технологий команда OSA относилась к приложениям с низкой и высокой степенью риска одинаково, поскольку хакеры, получившие доступ к незащищенным приложениям с низкой степенью риска, могли бы найти с их помощью нужную им брешь для взлома и более надежно защищенных приложений с высокой степенью риска (рис. 3).

рис. 3

В процессе тестирования была изучена информация о должностных обязанностях, уровнях ответственности и полномочий сотрудников службы ИТ, а также о планах защиты, которые по закону штата Колорадо должны разрабатывать государственные агентства. Команда OSA обнаружила, что 60% агентств, обязанных разработать план информационной защиты, не успели этого сделать до окончания установленного срока. Кроме того, эти планы зачастую были неполными, неточными, лишенными подробных и достоверных сведений.

Изучение всех аспектов среды информационной-безопасности организации дает возможность более тщательно оценить ее риски. Эта информация представляет ценность для специалистов и руководителей службы ИТ.

Чтобы скрытое широкомасштабное тестирование на проникновение было успешным, оно должно происходить при сотрудничестве тестировщиков с представителем ИТ-персонала, ответственного за защиту от уязвимостей. Необходимо поддерживать постоянную связь между тестировщиками и этим сотрудником. Перед началом тестирования обе стороны должны договориться о способах и времени связи в случае конкретных событий, таких как успешное проникновение, обнаружение взлома, возникновение проблем в результате тестирования или ситуаций, которые потенциально могут повлечь за собой вмешательство правоохранительных органов.

Даже после завершения тестирования желательно продолжать диалог между тестировщиками и сотрудниками службы ИТ, ответственными за обеспечение защиты важнейших активов организации. Когда финансовые возможности организации или сроки исполнения ограничены, этот диалог становится особенно важным, поскольку он помогает организации установить приоритеты при исправлении проблем. Чтобы скрытый широкомасштабный тест на проникновение оказался действительно ценным мероприятием, нужно обращаться к результатам теста постоянно, еще спустя много времени после того, как будет напечатан заключительный отчет.

Подготовка к успешному тестированию на проникновение
Чтобы осуществить тестирование успешно, коммерческим и государственным организациям, проводящим тесты на проникновение, необходимо предпринять следующие меры.

  • Обеспечить постоянную поддержку проекта со стороны руководства. Начните заранее, поскольку получить согласие руководства часто бывает сложнее, чем осуществить любой другой этап тестирования. Это может занять много времени.
  • Разработать подробный план действий, в котором будут обозначены все цели и задачи, а также подлежащие и не подлежащие тестированию системы, и составить календарный график выполнения проекта. Этот план должен также включать в себя правила ведения действий, касающихся таких моментов, как:
    • использование «червей» и других вирусов и восстановление компьютеров после взлома;
    • решение вопроса о том, будет ли тест на проникновение скрытым или объявленным;
    • урегулирование потенциальных правовых последствий в случае несанкционированного доступа команды тестирования к системам или объектам материальной собственности;
    • предотвращение отказа в обслуживании при прерывании обслуживания или процессов в результате успешного взлома системы.
  • Утвердить план связи с людьми, участвующими в тесте на проникновение и осведомленными о нем. Этот план должен определять способы и время связи в случаях успешного проникновения тестирующей команды в систему, обнаружения взлома сотрудниками службы ИТ-безопасности, а также возникновения в результате теста непредвиденных проблем для организации.
  • Создать команду тестирования из штатных и (или) внештатных сотрудников исходя из состояния ИТ-среды организации, выбранного типа теста на проникновение, знаний и способностей штатных сотрудников, а также стремления дать штатному персоналу возможность накопить опыт в процессе сотрудничества с внештатными специалистами. При работе со специалистами на договорной основе организация должна установить тщательный контроль за соблюдением контракта, а внештатные тестировщики, в свою очередь, обязаны нести ответственность за выполнение четко прописанных в контракте требований.
  • Подготовить команду тестирования к успеху прежде, чем она его достигнет. Самое, пожалуй, важное — это заключить договор, утверждающий законность предстоящих мероприятий. При возможном столкновении команды с правоохранительными органами, уверенными в том, что взлом настоящий, этот документ послужит чем-то вроде гарантии неприкосновенности. Команда тестирования должна быть также снабжена такими инструментами и техническими устройствами, как беспроводные передатчики и приемники, коммутаторы, кабели и программное обеспечение (например, сканирующие программы, эксплойты, взломщик паролей и прокси-серверов).

ВЫВОДЫ И РЕКОМЕНДАЦИИ

В одной из статей журнала Public CIO Трэвис Шэк рекомендует работникам службы информационной безопасности сосредоточить все внимание на систематическом соблюдении основных требований информационной безопасности7.

Результаты проведенного OSA тестирования на проникновение показали, что большинство использованных взломщиками уязвимостей возникло из-за отсутствия систематического применения передовых методик обеспечения информационной безопасности. Большую часть уязвимостей можно было отнести к следующим категориям:

  • слабые пароли и оставшиеся без изменения пароли, присвоенные по умолчанию;
  • стандартные конфигурации системы и приложений;
  • отсутствие обновлений для защиты от известных уязвимостей и несистематическое использование конфигураций защиты;
  • отсутствие систематического применения модели управления доступом с наименьшими привилегиями;
  • пренебрежение практикой безопасного программирования;
  • недостаточная осведомленность пользователей системы в области информационной безопасности.

Сотрудники OSA не обнаружили прежде неизвестных уязвимостей («эксплойтов нулевого дня»), и им почти не потребовалось применение профессиональных навыков программирования. Вместо этого они использовали хорошо известные уязвимости и слабости процессов, которые бы не возникли при соблюдении передовых методик обеспечения безопасности. Особое беспокойство тестировщики выразили по поводу того, что взлом большинства систем (включая и те, в которых был доступ к конфиденциальной информации) мог бы быть осуществлен даже людьми с ограниченными навыками и знаниями с помощью легко доступных в Интернете инструментов и технических средств. Кроме того, тест на проникновение выявил такие серьезные слабости и уязвимости, которые бы не могли быть обнаружены и исправлены путем регулярных аудитов или оценки защищенности (например, использование двусторонних доверительных отношений, возможность найти в организации точку опоры для атаки на хорошо защищенные системы и вероятность получения доступа к самым ценным данным организации путем обмана пользователей).

Помимо регулярных ИТ-аудитов и анализа уязвимостей, коммерческим и государственным организациям следует периодически (каждые три-пять лет) проводить в своих предприятиях скрытые тесты на проникновение. Необходимо, чтобы тесты соответствовали передовым методикам и включали в себя принципы нарушения защиты или тестирования каждого из трех столпов информационной безопасности8. При проведении тестов на проникновение следует также учитывать те ключевые для успешного тестирования моменты, которые были представлены в данной статье.

Кроме того, в ходе скрытого тестирования на проникновение организация должна оценивать способность своих сотрудников и систем выявлять текущие атаки и реагировать на них. После того как тестирование будет завершено, сотрудники службы информационной безопасности организации должны выслушать подробный отчет тестировщиков, а затем начать совместную с ними работу по выявлению основных слабостей системы с учетом риска и разработать детальный план по снижению риска и устранению последствий возможного проникновения.

ПРИМЕчАНИЯ

1 Общая информация была почерпнута из исследования Ponemon Institute LLC. Fourth Annual US Cost of Data Breach Study («Четвертое ежегодное исследование стоимости утечки данных»). США, январь 2009 г. www.ponemon.org/local/upload/fckjail/generalcontent/18/file/2008-2009%20US%20Cost%20of%20Data%20Breach%20Report%20Final.pdf. Она использовалась для анализа результатов тестирования Аудиторского офиса штата Колорадо (OSA), США. Полученная оценочная сумма ущерба составила от 7 до 15 млн долл. США.
2 State of Colorado OSA. Office of Cyber Security, Governor’s Office of Information Technology, Performance Audit November 2010 (Аудиторский офис штата Колорадо. Отдел кибербезопасности. Государственное управление ИТ. Аудит результативности, ноябрь 2010 г.). США, 2010 г.
3 Scarfone, Karen; Murugiah Souppaya; Amanda Cody; Angela Orebaugh; US National Institute of Standards and Technology (NIST) Special Publication 800-115. Technical Guide to Information Security Testing and Assessment. (Скарфоун К., Супайа М., Коуди А., Оребо А. Техническое руководство по тестированию и оценке информационной защищенности. Специальное издание Национального института стандартов и технологий США. NIST, США, 2008 г. http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
4 Там же.
5 ISACA, An Introduction to the Business Model for Information Security (Знакомство с бизнес-моделью информационной безопасности. // ISACA). США, 2009 г. www.isaca.org/bmis
6 Narus Inc., Three Components of Cyber Security: People, Process and Technology (Narus Inc. Три компонента кибербезопасности: люди, процессы и технологии.). 18 октября 2010 г. www.narus.com/blog/uncategorized/three-components-of-cyber-security-people-process-and-technology/
7 Schack, Travis, Back to Security Basics (Шэк Т. Возврат к основным требованиям безопасности). Public CIO, октябрь-ноябрь 2010 г. www.govtech.com/pcio/Back-to-Security-Basics-Opinion.html
8 ISACA, IS Auditing Procedure P8 Security Assessment—Penetration Testing and Vulnerability Analysis (Процедуры для аудита информационных систем: P8. Оценка защищенности. Тестирование на проникновение и анализ уязвимостей // ISACA). США, 2004 г. www.isaca.org/tools-techniques.

Джонатан Трулл (Jonathan Trull, CISA, CFE, OSCP) — заместитель государственного аудитора Аудиторского офиса штата Колорадо (OSA), первично ответственный за контроль над комплексными ИТ-аудитами в штате Колорадо, США. Кроме того, он отвечает за выборочный контроль эффективности аудитов, внутренний ИТ план и инфраструктуру OSA, а также за подготовку внутренней отчетности и внешнее взаимодействие. Имея за плечами 13-летний опыт государственного аудита и управления, Трулл показал себя прогрессивным руководителем высококачественных, объективных аудиторских проверок и обзоров.