Мы часто сталкиваемся с ситуациями, когда заказчик (а часто бывает что и специалист по ИБ) не понимают разницы между тестированием на проникновение и аудитом ИБ. Поэтому сегодня мы поделимся своим опытом в области пентестов и аудитов безопасности. Также рассмотрим отличия между двумя понятиями.

Обеспечение информационной безопасности - это сложный и комплексный процесс. Пентест или аудит безопасности являются лишь частью общего цикла. Хорошим примером для понимания является модель Шухарда-Деминга (Plan-Do-Check-Act, PDCA). Информационная безопасность - это бесконечный процесс улучшения и обновления. После каждого выполненного мероприятия по безопасности необходимо проверять его эффективность и, при необходимости, модифицировать.

В случае с пентестом совершенно недостаточно найти уязвимости в безопасности  и получить рекомендации по их закрытию. Заказчику необходимо найти людей, которые эти уязвимости закроют и исполнят выданные рекомендации. По опыту можем сказать, что не все компании сразу могут выделить человеческие ресурсы. В некоторых компаниях безопасностью занимаются отдел ИТ или СБ, что является в корне неверным. Подробнее об этом в будущих статьях.

Пентест позволяет проверить эффективность тех или иных процессов безопасности, стремится показать реальную картину, но не позволяет увидеть в масштабе. По итогам пентестов руководство активизируется по вопросам защиты информации. Именно руководство больше всего заинтересовано в результатах пентеста - это позволяет понять текущие недоработки в системе безопасности огранизации.

В случае с аудитом безопасности ситуация иная (подчеркиваем, что имеется ввиду не аудит соответствия  стандартам). Здесь задача более обширная и требует большой экспертизы не только в программного-технической ИБ, но и в правовой и организационной. Аудит безопасности заключается в  перечислении всех бизнес процессов, уточнении информации о реализуемых инженерно-технических мерах, определении внедренных организационных и правовых мер, оценке зрелости компании с точки зрения ИБ по разным международным и отечественным стандартам и даже в проверке выполнения требований регулятора.

Аудит в таком контексте позволяет понять структуру организации, протекающие в ней процессы и их качество.

Целями такого мероприятия являются:

1. Выявление сильных и слабых сторон в  организации ИТ инфраструктуры с точки зрения ИБ;

2. Определение  приоритетности решаемых задач на основании модели угроз и модели злоумышленника;

3. Построение дорожной карты или корректировка существующей для развития ИБ в организации.

По итогам аудита формируется подробный отчет с высокоуровневым описанием всех ИБ и ИТ процессов компании с рекомендациями по их улучшению с точки зрения безопасности.

Методологии

Существуют разные методологии и подходы как для пентестов, так и для аудита безопасности. Цели и подходы существенно различаются для каждого из мероприятий. Методологии позволяют специалистам двигаться в общепринятом направлении и использовать лучшие мировые практики.

Пентесты

В ходе пентестов мы ориентируемся на различные стандарты и методологии, такие как WSTG от OWASP для веба и на OSSTM для внутрянки и беспроводных сетей. Существуют также и другие стандарты по пентестам, обзорно рассмотрим их ниже. И, конечно же, мы пользуемся собственными наработками и шпаргалаками.

1. WSTG

   Актуальная версия документа  4.2 доступна на сайте проекта. WSTG предоставляет пентестеру пошаговую инструкцию (читай шпаргалку) для анализа защищенности веб приложений. Включает в себя вопросы:

1. Сбора информации;

2. Тестирование конфигураций;

3. Тестирование авторизации и аутентификации;

4. Тестирование проверок пользовательского ввода;

5. Тестирование бизнес-логики, криптографии, API и другое.

WSTG предоставляет читателям информацию о том, как тестировать уязвимости методами черного и серого ящика с использованием готовых примеров.

2. OSSTM

   Представляет из себя открытый документ под редакцией института безопасности и открытых технологий (ISECOM). Интересно, что в этом документе отдельно выделяются вопросы тестирования физической безопасности, беспроводных сетей, сетей обработки данных, человеческого фактор и вопросы обеспечения регулятивных требований.

3. PTES

   Методология PTES предлагает более общий и комплексный подход к формированию гайдлайна. Что примечательно, в тексте PTES указано довольно много векторов по сбору информации (Intelligence Gatheting), пост-эксплуатации (Post Exploation), хорошо сформулирована структура отчета (Reporting).

4. NIST Technical Guide to Information Security Testing and Assessment

   Многим известный  национальный институт стандартов и технологий (NIST) также опубликовал технический документ по проведению пентестов. В тексте публикации описаны подходы и методы к проведению пентестов, в их числе сканирование сети на уязвимости (проводной/беспроводной), проведение социальной инженерии, приведены стадии тестирования на проникновения, и, конечно же, даны рекомендации по написанию отчетов.

5. ГОСТ Р 58143-2018. Методы и средства обеспечения безопасности. Часть 2. Тестирование на проникновение

   Этот высокоуровневый документ основан на международном стандарте ISO/IEC TR 20004:2015 “Информационная технология. Методы и средства обеспечения безопасности.  Детализация анализа уязвимостей программного обеспечения в соответствии с  ИСО/МЭК 15408 и ИСО/МЭК 18045" (ISO/IEC TR 20004:2015”.

   ГОСТ приводит рекомендации по стадиям тестирования на проникновение (планирование, разработка тестов, проведение тестировования,  разработка отчетности).

   Также представлен порядок действий по тестированию на проникновение в соответствии с различными потенциалами атакующего.

Аудиты

А если речь заходит об аудите безопасности или оценки зрелости компании, то можно ссылаться на лучшие практики CIS Controls (используем 8 версию), а также на фреймворк COBIT. В этих документах содержатся модели опрееления уровня зрелости организаций с неформальным описанием. Наша работа во многом проходит по методологии CIS Controls. Рассмотрим подробнее модели определения зрелости для аудита безопасности.  Ниже вольный перевод вставок из англоязычного текста.

В соответствии с уровнями CIS и Cobit можно оценить уровень зрелости ИБ в компании и дать формализованную оценку.

Методология CIS

Методология CIS является открытым сборником лучших практик по защите информации. Документ основан на практическом опыте мировых экспертов в области информационной безопасности. Стандарт содержит 18 направлений вопросов для определения зрелости организации. Перечень критериев оценки зрелости компании формируются на основании подобия к одному из трёх основных типов организаций (IG1, IG2, IG3):

• IG1:

  Небольшая или средняя организация с ограниченным ресурсами в области ИТ и безопасности. Основная задача заключается в поддержании минимальной работоспособности организации. Низкая чувствительность обрабатываемой информации.

• IG2 (включает в себя IG1):

  Организация располагает достаточными ресурсами для разделения ответственности по управлению и защите ИТ инфраструктуры на разных сотрудников. Имеется разделение на группы безопасности с разным уровнем риска в зависимости от функциональных обязанностей. Выполняет требования регуляторов. Обрабатывается чувствительная информация. Организация может выдерживать кратковременные перебои электроэнергии. Основной угрозой является потеря репутации в случае утечки информации.

• IG3 (включает в себя IG2):

  Организация имеет в штате специалистов из разных областей безопасности (управление рисками, пентест, безопасная разработка). Обрабатываемая информация является чувствительной и подлежат нормативному контролю со стороны регулятора. Требуется обеспечивать доступность предоставляемых сервисов, целостность и конфиденциальность чувствительных данных. Успешные атаки позволяет нанести значительный ущерб общественному благосостоянию. Уровень организации IG3 должен соответствовать максимальным требованиям стандарта CIS.

Стандарт COBIT

Этот стандарт представляет из себя универсальную модель оценки системы управления ИТ. Отдельно выделяется раздел связанный с информационной безопасностью “COBIT for Information Security”. Безопасности посвящен отдельный документ, который использует понятие “факторы влияния” для обеспечения информационной безопасности. Последний раздел документа посвящен адаптации COBIT для корпоративной среды. Стандарт выделяет 4 уровня зрелости:

1. уровень зрелости в ИБ:

   ИБ никто не занимается; руководство не осознает важности проблем ИБ; дополнительное финансирование ИБ отсутствует; ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

2. уровень зрелости в ИБ:

   ИБ рассматривается руководством как чисто «техническая» проблема; отсутствует единая концепция или политика развития системы обеспечения информационной безопасности (СОИБ) компании; финансирование ведется в рамках общего ИТ-бюджета; ИБ реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты.

3. уровень зрелости в ИБ:

   ИБ рассматривается руководством как комплекс организационных и технических мероприятий; существует понимание важности ИБ для производственных процессов; есть утвержденная руководством программа развития СОИБ компании; финансирование ИБ ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO, PKI и организационные меры.

4. уровень зрелости в ИБ:

   ИБ является частью корпоративной культуры; назначен CISA (ответственный за организационную ИБ) и CISO (назначен ответственный за техническую ИБ); финансирование ведется в рамках отдельного бюджета; информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты информационной безопасности), SLA (соглашение об уровне сервиса).

Дополнительно по аудиту

Также в качестве рекомендаций советуем серию ISO 27000.

1. ГОСТ Р ИСО/МЭК 15504-2009. “Проведение оценки”. Эталонная модель зрелости компании. Содержит 9 частей.

2. ГОСТ Р ИСО/МЭК 19011-2021. “Руководящие указания по проведению аудита систем менеджмента”;

3. ГОСТ Р ИСО/МЭК 27000-2012. “Системы менеджмента информационнной безопасности. Общий обзор и терминология”;

4. ГОСТ Р ИСО/МЭК 27001-2006. ”Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности”;

5. ГОСТ Р ИСО/МЭК 27007-2014. “Руководство по аудиту систем менеджмента информационной безопасности”;

Коммуникации с заказчиком

Еще одна отличительная черта между пентестом и аудитом безопасности заключается в процессе коммуникации с ответственным лицом.

В ходе пентеста нет постоянного взаимодействия с заказчиком. Иногда можно ключевые моменты. Все обговаривается на этапе подписания договора, а также перед отправкой на печать финальной версии отчета, когда заказчик вносит свои правки и рекомендации. В остальном же пентестер предоставлен сам себе и не может консультироваться с заказчиком о выборе конкретных целей и выбора уязвимых мест и модулей.

Во время аудита происходит постоянный диалог с руководителями подразделений, уточняется информация о процессах. Также во время аудита проводится интервьюирование сотрудников организации. Этот процесс позволяет проверить информацию, которую предоставляют руководители подразделений. Общение с рядовыми сотрудниками позволяет осуществить зрез знаний и определить общий уровень осведомленности в области ИБ.

Аудитору безопасности необходимо обладать развитыми софт-скиллами. Без прокачанного навыка красноречия и навыка понимания людей невозможно будет получить нужную информацию. Для некоторых сотрудников интервью является сильнейшим стрессом. Они могу закрыться в себе и отвечать на вопросы некорректно. Задача аудитора здесь заключается в создании благоприятной и спокойной обстановки.

Итоги

Как было озвучено ранее, пентест и Аудит ИБ являются неотъемлемой частью общего процеса обеспечения информационной безопасности. Аудит позволяет задать вектор движения для развития. Пентест же  позволяет проверить насколько успешно выполняются процессы по реализации установленного вектора и насколько эффективно работает отдел информационной безопасности (если он конечно имеется). Начинать защищать информацию необходимо с Аудита ИБ. Этот шаг позволит Вам понять текущее состояние организации.

Пентест - лишь верхушка айсберга, он не позволяет увидеть всю картину в масштабе и ставит своей целью проверить техническую составляющую процесса защиты информации.

Аудит безопасности является более широким понятием. Он  важен в первую очередь руководителям организаций, поскольку в результате складывается понимание о зрелости и о тенденциях к развитию.

Имеются гайдлайны и стандарты как для пентестеров, так и для аудиторов безопасности. В таких документах описаны лучшие практики от специалистов со всего мира. Компетентный аудитор обязан ссылаться на стандарты и лучшие практики.

Для проведения аудитов безопасности необходимо иметь фундаментальные знания как в IT сфере, так и в сфере безопасности. Необходимо иметь комплексное и стратегическое мышление для построения будущей системы безопасности.