Исследование безопасности информационных систем: от аудита до Red Teaming
Исследование безопасности информационных систем: от аудита до Red Teaming
В условиях современного мира информационные системы становятся ключевыми элементами функционирования организаций. Однако с увеличением количества кибератак и утечек данных возникает настоятельная потребность в тщательном анализе их защищённости. Разберёмся, почему это так важно.
Цель анализа защищенности
Основная цель анализа защищенности — выявление уязвимостей, установление причин их возникновения и внедрение изменений в технические и организационные аспекты защиты информационной безопасности.
Этот обобщённый подход отражает суть услуг по анализу защищённости.
Причины проведения работ
Анализ защищённости информационных систем сам по себе не улучшает уровень защиты. Он предоставляет ценные сведения о том, что в системе работает эффективно, а что требует дополнительного внимания и улучшения. Этот процесс служит отправной точкой для дальнейших действий по усилению защиты. Обладая пониманием текущего состояния, специалисты по информационной безопасности могут адаптировать процессы и методы для повышения их эффективности.
Предпосылки анализа защищенности
Анализ защищённости необходимо проводить регулярно, чтобы он стал неотъемлемой частью процесса защиты информации, аналогично ежегодному медицинскому осмотру. Оптимальная частота проведения анализа зависит от особенностей инфраструктуры и предоставляемых услуг.
Как выбрать периодичность? Ответьте себе честно, как часто вы сможете, основываясь на результатах анализа, вносить изменения в ИТ/ИБ-процессы и настраивать инфраструктуру? Это и будет необходимая частота. Мы расскажем о периодичности и сложности, которые чаще всего выбирают коллеги. Эти оценки являются средними значениями, поэтому помните, что каждый случай уникален.
Существуют события, которые могут потребовать внепланового анализа защищённости информационных систем, независимо от графика. К таким событиям относятся:
- Обновление инфраструктуры, включая внедрение новых информационных систем.
- Открытие новых офисов или филиалов (добавление дополнительных подсистем в существующую инфраструктуру).
- Смена команды ИБ, руководителя ИБ-департамента или подрядчика.
Виды анализа защищенности
Сканирование уязвимостей (Vulnerability Scanning/Vulnerability Research)
Сканирование проводится с помощью сетевого сканера уязвимостей. Результатом является отчёт, включающий:
- Общую статистику.
- Список выявленных нарушений безопасности.
- Рекомендации по их устранению.
Периодичность: ежемесячно или чаще, в зависимости от процесса устранения уязвимостей и установки обновлений.
Сложность: низкая.
Оценка уязвимостей (Security Analysis, Vulnerability Assessment)
Оценка уязвимостей информационных систем проводится с использованием автоматизированных средств и учетных записей ИТ-активов заказчика. Цель — предоставить наиболее полную картину потенциальных уязвимостей инфраструктуры с минимальным количеством ложных срабатываний.
Помимо сетевых сканеров, возможно использование ручных проверок, когда к анализу результатов сканирования подключается аналитик. Это помогает сократить количество ложных срабатываний и выделить приоритетные уязвимости, требующие немедленного внимания.
На этом этапе можно определить наличие уязвимости, но не вероятность её эксплуатации злоумышленниками.
Периодичность: раз в квартал или чаще. Поскольку эта услуга пересекается со сканированием уязвимостей, многие чередуют их проведение.
Сложность: средняя.
Аудит безопасности (Security Audit)
В ходе аудита безопасности проверяется соответствие ИТ-системы установленным требованиям протоколов безопасности, нормативным актам и стандартам, регулирующим информационную безопасность.
Аудит безопасности акцентируется на соблюдении требований и рекомендаций лучших практик, а также нормативных актов, стандартов и документации производителей оборудования и программного обеспечения.
Периодичность и сложность аудита зависят от множества факторов, включая источник задачи.
Тестирование на проникновение (Penetration Testing, пентест)
Пентесты представляют собой метод оценки защищенности, в рамках которого специалист пытается эксплуатировать выявленные уязвимости. Цель состоит в том, чтобы получить актуальную информацию о способности средств защиты противостоять попыткам проникновения по конкретным сценариям и предоставить рекомендации для устранения обнаруженных нарушений безопасности.
Существует несколько типов пентестов:
- Внешнее тестирование: Специалист ищет способы проникновения внешнего нарушителя в корпоративную инфраструктуру, используя уязвимости и ошибки конфигураций сервисов, доступных из интернета.
- Внутреннее тестирование: Анализ проводится изнутри, как если бы злоумышленник действовал из определенного сегмента инфраструктуры. Для этого предоставляется удалённый доступ или создаётся рабочее место на объекте.
- Фишинг: Специалисты имитируют действия злоумышленников, используя электронную почту или телефонные номера, активно применяя методы социальной инженерии. Этот тип тестирования часто включается как часть внешнего тестирования.
Эти услуги могут комбинироваться и адаптироваться под конкретные потребности.
Периодичность: 1-2 раза в год, в зависимости от скорости устранения выявленных нарушений безопасности.
Сложность: высокая.
Red Teaming
Главная задача Red Teaming заключается в моделировании атаки на инфраструктуру так, как это сделали бы настоящие злоумышленники, для проверки эффективности процессов и средств защиты в условиях неожиданной атаки.
Если атака успешна, это не означает необходимость распуска ИБ-службы. Red Teaming помогает выявить слабые места и ошибки, получить практический опыт без серьёзных последствий.
Команда красных (атакующих) действует скрытно, имитируя действия реальных злоумышленников, тогда как команда защитников не знает о проводимых работах. По завершении составляется отчёт, описывающий, каким образом был получен доступ, чтобы специалисты по ИБ могли пересмотреть или улучшить защитные меры. Анализ отчётов красной и синей команд позволяет выявить неожиданные моменты, переходящие в purple team.
Purple Teaming
Purple Team представляет собой совместный подход к анализу защищенности, объединяющий усилия синей и красной команд. Цель заключается не только в выявлении слабых мест, но и в улучшении общего уровня защиты компании с участием ИБ-команды на всех этапах. Работа purple team позволяет оценить эффективность защитных решений, оптимизировать процессы реагирования и усилить контроль за безопасностью.
У purple team есть конкретные метрики для оценки работы:
- MTTD (Mean Time to Detect): Среднее время обнаружения инцидента.
- MTTR (Mean Time to Respond): Среднее время реакции на инцидент.
Важна не только абсолютная величина этих показателей, но и динамика их улучшения.
Синергия между командами защитников и атакующих способствует росту компетенций, позволяя каждой стороне узнавать о новых технологиях, подходах и инструментах.