Оценка защищенности информационных систем: обзор подходов

Шесть различных подходов к оценке защищенности информационных систем с особенностями их применения в той или иной ситуации.

Не проходит дня, чтобы в российских СМИ или Интернете не промелькнула новость о том, что та или иная компания пострадала от рук хакеров — то украдут данные, то выведут сайт из строя, то зашифруют важные файлы. И нет-нет да и задаст нам генеральный директор, с которым мы столкнулись в лифте, вопрос: «А с нами такого не случится?» Если вы думаете, что новости о взломах проходят мимо больших боссов и такой вопрос они вам не зададут, то будьте готовы к другому, интересующему всегда: «А мы защищены?» И если мы, придя на инвестиционный комитет или на собрание совета директоров, отвечаем утвердительно, то следующий вопрос, который мы услышим, будет как из нашего детства: «А чем докажешь?» Парадокс, но руководство компании мало волнует, как мы защищаемся от хакеров. Их волнует доказуемый результат нашей деятельности. Мне хотелось бы в статье рассмотреть шесть различных подходов к оценке защищенности информационных систем, указав их особенности применения в той или иной ситуации.

Но сначала давайте попробуем определиться с тем, что и ради чего мы может оценивать? Несмотря на очевидный и лежащий на поверхности ответ, ситуация не столь проста. С одной стороны, мы делаем это, чтобы улучшить состояние безопасности и найти слабые места прежде, чем это сделают хакеры, способные реализовать недопустимые события, несущие катастрофические последствия для бизнеса (от кражи денег на счете организации и срыва контрактных обязательств до нанесения вреда жизни и здоровью людей или экологической катастрофы). С другой — оценка защищенности требует ресурсов, которые могли бы помочь решать существующие проблемы с ИБ, а не выискивать новые.

Поэтому перед выбором подхода к оценке защищенности необходимо определиться с ее целью. Одно дело — протестировать защищенность нового самописного веб-приложения, которое позволит компании лучше удовлетворять потребности клиентов (а в противном случае потерять их или их лояльность, а следовательно, и снизить средний чек от них), и совсем другое — анализировать периметр компании, чтобы недопустить проникновения в нее «плохих парней», способных украсть ценную информацию, например, персональные данные, что может повлечь получение штрафа в размере 1% или 4% от оборота компании, ставшей причиной утечки персданных. С одной стороны, мы можем захотеть найти и устранить все уязвимости в приложениях (сразу скажу, это тупиковая затея), а с другой — выявить все сценарии, позволяющие злоумышленникам реализовать недопустимые события. Наконец, вы можете захотеть продемонстрировать свой уровень защищенности и отношение к безопасности партнерам и клиентам или вы обязаны выполнить требования законодательства (например, ФСТЭК или Банка России).

Суть оценки защищенности	Типовые цели оценки защищенности	Подходы к оценке защищенности
Где я нахожусь?	Быстрый поиск слабых мест для их закрытия Соответствие требованиям	Нерегулярное или ежеквартальное сканирование уязвимостей Простые тесты на проникновение
Я двигаюсь в правильном направлении?	Оценка эффективности защитных мер Поиск не лежащих на поверхности слабых мест	Ежемесячное сканирование уязвимостей Базовый DAST BAS Тесты на проникновение
Как мне улучшить движение в правильном направлении?	Непрерывное улучшение уровня ИБ Мониторинг эффективности защитных мер	Непрерывное сканирование уязвимостей DAST BAS Red Team Bug Bounty

Сканирование уязвимостей

Это, пожалуй, самый популярный метод оценки защищенности, который используется для повышения своей ситуационной осведомленности в отношении имеющихся уязвимостей приложений, системного ПО, сетевой инфраструктуры и т. п. Кроме того, подобная защитная мера является обязательной согласно требованиям ФСТЭК и ЦБ для государственных и муниципальных организаций, субъектов КИИ, финансовых организаций, владельцев АСУ ТП, операторов персональных данных и т. п.

Будучи полностью автоматизированным, этот метод, к сожалению, имеет и существенные недостатки. Во-первых, он позволяет найти только известные уязвимости, заложенные производителем в свой сканер уязвимостей (а потому так важно регулярно обновлять его базу знаний). Во-вторых, работа сканера может повлечь за собой нарушение работоспособности отдельных компонентов инфраструктуры, не очень хорошо спроектированных или не способных выдержать массовую проверку уязвимостей и выходящих из строя (такое бывает с некоторыми элементами АСУ ТП). В-третьих, обычно сканеры безопасности выявляют атомарные, единичные уязвимости, не учитывая их взаимосвязи с другими, и цепочки уязвимостей, которые применяются хакерами в реальной жизни. Наконец, этот метод находит известные ему дыры в инфраструктуре, но не подтверждает возможность их использования, в отличие от пентестов или решений класса BAS.

Запускаться такие решения могут как самой компанией, так и внешними подрядчиками. В ряде случаев последнее требуется законодательством, например, стандартом PCI DSS или положениями Банка России.

Динамический анализ приложений (DAST)

У средств динамического анализа приложений (dynamic application security testing, DAST) схожее со сканерами безопасности целеполагание, особенности и ограничения, однако в отличие от них решения класса DAST фокусируются не на инфраструктуре, а на отдельных приложениях или пробелах в защитных механизмах, реализованных межсетевыми экранами для веб-приложений (Web Application Firewall, WAF) или решениями класса RASP (Runtime Application Self-Protection). К описанным для сканеров уязвимостей особенностям можно добавить еще одну — требование квалифицированного персонала, ориентированного на защиту приложений (application security). В противоположность сканерам безопасности, способным работать в полностью автоматическом режиме, решения класса DAST предусматривают вовлечение персонала в его работу.

Эмуляция атак (BAS)

Что может произойти, если кто-то воспользуется найденными уязвимостями? Именно на этот вопрос отвечают решения по симуляции атак (Breach & Attack Simulation, BAS), которые эмулируют работу реальных хакеров, осуществляющих набор взаимоувязанных между собой действий для достижения своей цели. С помощью BAS, которые в последнее время иногда подменяют собой сканеры уязвимостей или простые тесты на проникновение, можно определять, насколько способны имеющиеся средства защиты выявлять и блокировать методы злоумышленников. При условии постоянно пополнения и обновления базы хакерских симуляций, данный класс решений можно использовать в непрерывном режиме, позволяющем также непрерывно мониторить эффективность системы ИБ предприятия без привлечения внешних компаний (но можно и с их помощью).

Тесты на проникновение

Если мы хотим проверить способность нашей системы защиты противостоять сложным атакам и группировкам высококвалифицированных хакеров, нам сложно будет автоматизировать эту задачу с помощью сканеров уязвимостей и решений класса BAS. Мы должны нанять таких же высококлассных специалистов, которые сделают то, что и «плохие парни», но раньше них.

Однако у пентестов есть и свои особенности. С их помощью достаточно сложно сравнивать результаты, полученные в разное время даже в отношение одной компании, что обусловлено разными подходами и путями, которые пентестер будет использовать в каждом новом исследовании. Кроме того, пентест требует времени, в том числе и на подготовку, что не позволяет пользоваться этим способом очень часто, ограничиваясь ежеквартальной или ежегодной оценкой.

Команды Red Team

Цель привлечения команд Red Team заключается в получении взгляда на безопасность компании глазами настоящих хакеров, не скованных никакими ограничениями. Если пентест обычно является разовой «акцией» и его задача — попасть внутрь организации, то длящаяся большее время деятельность «красных команд» направлена на реальную эмуляцию действий киберпреступников. В рамках оценки «красной командой» реализуются не только фишинговые атаки или использование уязвимостей, но и разработка вредоносного ПО, а также физическое проникновение на объект заказчика.

Bug Bounty

Во всех предыдущих схемах оценка защищенности выполняется либо самой компанией (если может соблюсти непредвзятость), либо внешней организацией. В обоих случаях мы зависимы от квалификации тех, кто проводит оценку защищенности, и в случае их невысокого профессионализма мы можем находиться в плену иллюзий относительно своей защищенности. Вариант разрешения такого конфликта — приглашение большего числа специалистов, которые будут проверять на прочность наши приложения или инфраструктуру. Но в этом случае мы встретимся лицом к лицу с трудностью иного характера — заключать договоры с каждым проверяющим сложно, долго и требует много ресурсов.

Решением может стать платформа/провайдер Bug Bounty, который объединяет усилия тех, кто хочет продать свои услуги в области оценки защищенности, и тех, кто хочет их купить. Это некая биржа, где компании размещают свои приложения или информационные системы, которые надо проверить на прочность, а легальные хакеры, чье число практически ничем не ограничено, тестируют их, получая деньги в зависимости от серьезности найденных слабых мест. Например, группа компаний VK за три месяца использования отечественной платформы Standoff 365 Bug Bounty, на которые «выставила» 19 своих сервисов («ВКонтакте», «Одноклассники», Skillbox и т. п.), выплатила более 3 млн рублей пяти с лишним десяткам исследователей. Размер выплат составил от 3 тысяч до 750 тысяч рублей в зависимости от критичности уязвимости.

Однако у подхода Bug Bounty есть серьезный недостаток. И дело не в деньгах, которые мы платим тем, кто найдет уязвимости в наших приложениях и инфраструктуре (мы бы их все равно заплатили внешним пентестерам или своим же специалистам). Чтобы публично воспользоваться услугами внешних специалистов надо обладать определенной смелостью признать, что ваша ИБ может содержать пробелы, а это означает очень высокий уровень зрелости. Наверное, поэтому подобным методом оценки защищенности пока пользуется в России не так много компаний — помимо уже упомянутой VK, это Rambler, «Азбука вкуса», «Авито» и другие.

Какой подход выбрать?

Я не уверен, что существует алгоритм выбора однозначного и единственно верного подхода к оценке защищенности, поскольку на этот выбор будет влиять множество факторов:

Цель оценки, которую мы уже обсудили выше. Одно дело искать уязвимости или проверять способность команды ИБ выявлять действия хакеров, и совсем другое — оценивать сценарии возможного проникновения и возможность хакеров реализовывать недопустимые события.
Соответствие требованиям регуляторов, которые могут не только определять сам способ оценки, но и предъявлять к нему особые требования. Например, Банк России обязывает, чтобы оценка защищенности финансовых приложений проводилась только внешними организациями, а ФСТЭК — чтобы такие организации обладали лицензиями на деятельность по технической защите конфиденциальной информации.
Толерантность к сбоям. Некоторые тесты, например, в производственной сети в отношении компонентов АСУ ТП, могут привести к сбою и нарушению технологических, производственных или бизнес-процессов. Насколько для нас это критично?
Сроки, в течение которых необходимо провести оценку.
Стоимость, которая может быть как незначительной (например, в случае использования бесплатных, open source сканеров уязвимостей) или достаточно высокой (например, в случае приглашения Red Team, которая будет скупать уязвимости или писать вредоносное ПО специально под заказчика).

Подводя итоги

Построение любой системы защиты может считаться законченным, когда мы оценили ее характеристики и смогли подтвердить или опровергнуть способность квалифицированных злоумышленников проникнуть через все защитные преграды и достигнуть своей цели, реализовав недопустимое для компании событие. Это можно сделать с помощью различных методов оценки защищенности, которые позволяют не верить на слова тем, кто нас защищает, а получить реальные доказательства (или опровержение) их слов.

В качестве заключения можно дать еще две рекомендации относительно данного, одного из важнейших этапов функционирования любой системы результативной ИБ:

Оценка защищенности не должна быть проходным и разовым мероприятием — в организации должна существовать соответствующая стратегия, описывающая разные подходы к оценке защищенности и ситуации, когда они должны применяться в организации (регулярно, перед запуском бизнес-приложения в промышленную эксплуатацию, после «удачного» взлома и т. п.).
Оценка не должна быть повсеместной (это дорого и избыточно) — надо фокусироваться на тех системах и приложениях, взлом которых повлечет за собой катастрофические для компании последствия. Это позволит сфокусироваться на главном.
Вы должны знать, что будете делать после завершения очередной оценки защищенности, которая может показать наличие у вас слабых мест. И знать это стоит заранее. Конечно, внешняя оценка защищенности может содержать рекомендации по устранению выявленных слабых мест, но так бывает далеко не всегда.

Журнал IT Manager

Опубликовано 02.11.2022

Об авторах

Алексей Лукацкий

Бизнес-консультант по безопасности Positive Technologies

Информационная безопасность Киберугрозы ИТ Диалог

Предыдущая
Как защитить государственные ИТ-системы, обрабатывающие информацию, содержащую государственную тайну, а также заместить иностранные решения класса ID&AM?

Следующая
Уникальный опыт кибербезопасности

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30