19 марта 2018
Виды технической оценки информационной безопасности
Существует обширное количество терминов (тестирование на проникновение, анализ защищенности, редтимминг), относящихся к оценке информационной безопасности и обозначающих сходные, хоть и различные понятия. Данная статья поможет структурировать имеющиеся на текущий момент подходы и выбрать тот, который наиболее отвечает поставленным задачам.
Сразу хотелось бы оговориться, что информация, приведенная ниже, по большей части является переработкой/адаптацией методик, описанных в Open Source Security Testing Methodology Manual (OSSTMM) и NIST Special Publication 800−115 Technical Guide to Information Security Testing and Assessment.
В первую очередь владельцу информационной системы необходимо определить, что и с какой целью будет подвергаться оценке. Глобально цель обычно относится скорее к одному из двух вариантов:
- комплаенс или соответствие ресурса тем или иным требованиям по безопасности (это может быть требования по безопасности, предъявляемые к ИСПДн, PCI DSS, рекомендации Банка России или требования к КИИ);
- оценка безопасности, вызванная собственной потребностью, исходящей из модели потенциального нарушителя (может варьироваться от конкурента, осуществляющего промышленный шпионаж, до минимально технически подкованного школьника, развлекающегося в свободное время).
Более подробно о целях описано в нашей предыдущей публикации.
Резюмируя предыдущую статью о целях в проектах по анализу защищенности и подходах к их выбору, стоит отметить, что, исходя из поставленной цели, выбирается один из нескольких типов проведения работ, делящихся по количеству исходной информации, известной как аудитору с одной стороны, так и персоналу организации, связанному с IT-инфраструктурой, с другой:
Помимо вышеописанного, при планировании работ должны быть определены каналы взаимодействия с оцениваемой системой. Из них могут вытекать:
• оценка физической безопасности может рассматривать такие атаки, как проникновение на контролируемую территорию в обход пропускного режима, физическое «врезание» в сеть, кражу оборудования и так далее. Также подобная оценка включает в себя различные методы социальной инженерии, например, осуществление запроса пароля пользователя под видом специалиста технической поддержки;
• оценка беспроводных каналов связи может включать все виды электронных коммуникаций, связанных с сигналами и излучениями в известном электромагнитном спектре, включая ПЭМИН. В первую очередь сюда стоит отнести тестирование таких повсеместно используемых технологий, как Wi-Fi и Bluetooth;
• оценка коммуникаций. В данном случае рассматривается атака на систему через информационно-телекоммуникационные сети.
• оценка физической безопасности может рассматривать такие атаки, как проникновение на контролируемую территорию в обход пропускного режима, физическое «врезание» в сеть, кражу оборудования и так далее. Также подобная оценка включает в себя различные методы социальной инженерии, например, осуществление запроса пароля пользователя под видом специалиста технической поддержки;
• оценка беспроводных каналов связи может включать все виды электронных коммуникаций, связанных с сигналами и излучениями в известном электромагнитном спектре, включая ПЭМИН. В первую очередь сюда стоит отнести тестирование таких повсеместно используемых технологий, как Wi-Fi и Bluetooth;
• оценка коммуникаций. В данном случае рассматривается атака на систему через информационно-телекоммуникационные сети.
Также при проведении аудита можно выделить следующие методы взаимодействия с исследуемым объектом:
1. Экспертные оценки распорядительной документации, принятых политик, журналов событий, конфигураций систем, анализ трафика сети передачи данных, исходных кодов программного обеспечения.
2. Идентификация и анализ объектов, сетей, систем, открытых портов, запущенных сервисов.
3. Эксплуатация обнаруженных при работе с объектом двумя предыдущими методами проблем в безопасности с целью наглядной демонстрации реальных возможностей, получаемых злоумышленником, а также для исключения ложноположительных и ложноотрицательных результатов.
1. Экспертные оценки распорядительной документации, принятых политик, журналов событий, конфигураций систем, анализ трафика сети передачи данных, исходных кодов программного обеспечения.
2. Идентификация и анализ объектов, сетей, систем, открытых портов, запущенных сервисов.
3. Эксплуатация обнаруженных при работе с объектом двумя предыдущими методами проблем в безопасности с целью наглядной демонстрации реальных возможностей, получаемых злоумышленником, а также для исключения ложноположительных и ложноотрицательных результатов.
В зависимости от типа проводимых работ могут быть выбраны различные методы взаимодействия, а также их комбинации. Например, при проведении плановой проверки по анализу защищенности, скорее всего будет использоваться второй метод, а при классическом тестировании на проникновение второй и третий. В свою очередь первый способ далеко не всегда возможен, но обязательно будет использоваться при проведении работ по принципу «белого ящика».
Исходя из модели потенциального нарушителя, аудит также может делиться на внешний и внутренний. При внешнем аудите рассматриваются атаки, развивающиеся из точки, находящейся за пределами периметра безопасности организации, и, соответственно, рассматривается внешний злоумышленник. При внутреннем же аудитор находится в пределах контролируемой зоны: рассматриваются внутренний злоумышленник либо внешний, сумевший проникнуть сквозь периметр безопасности — в данном случае аудитору обычно выдаются минимальные права в системе и одной из задач ставится анализ возможности повышения привилегий.
В конечном счете, на основе вышеизложенного мы получаем возможность удобного и понятного как исполнителю, так и заказчику формирования перечня проводимых работ. В качестве примера, приведу наиболее популярные виды аудитов:
Новые уязвимости обнаруживаются постоянно. Таким образом, защита информации в компании должна стать непрерывным процессом, а не разовым мероприятием. Тесты на проникновение необходимо делать как минимум раз в год, в этом вам могут помочь наши специалисты. По результатам тестирования на проникновение будет предоставлен детальный отчет с выявленными уязвимостями, рекомендациями по их устранению, примерами атак и описаниями возможных сценариев проникновения.
Петр Кириченко
Инженер, Акрибия
Инженер, Акрибия
Другие публикации по теме