Одним из главных способов проверить реальную защищенность информационных систем является пентест — тестирование на проникновение. Компании приглашают белых хакеров или создают собственные red team, чтобы имитировать реальные атаки. Главный недостаток подхода — проводить тесты чаще, чем несколько раз в год, проблематично. У хакеров нет отпусков и выходных, поэтому компании нуждаются в непрерывной проверке своей инфраструктуры. О том, как устроены системы автоматического пентеста, рассказывает сооснователь CtrlHack Максим Пятаков,сообщает forbes.ru.

Фото Getty Images

Фото Getty Images

Проблемы «ручного» пентеста

Сфера пентеста хорошо развита в России. По данным компании «Информзащита», в 2024 году этот рынок вырос на 25%, а специалисты находят около 2000 уязвимостей в ПО ежемесячно. Белые хакеры имитируют реальные атаки, чтобы найти уязвимости в инфраструктуре компаний. Многие государственные и коммерческие предприятия обращаются к помощи «этичных» специалистов, так как это лучше всего повторяет действия настоящих злоумышленников. Для банков и финансовых организаций проведение пентеста и вовсе является обязательным.

Компании, которые используют пентест, могут создать собственный red team (команда атакующих) или пригласить сторонних исследователей. Первый способ требует большой экспертизы и финансирования, поэтому подходит не всем. Дешевле и быстрее сотрудничать с компаниями, специализирующимися на пентесте. Стороны согласовывают ТЗ, определяют сроки и приступают к работе. Однако и в этом случае заказчик встретится с ограничениями.

  • Нехватка времени. Сроки выполнения работ чаще всего не превышают пары месяцев. За это время пентестеры едва успевают проверить треть из нескольких сотен известных и описанных техник. Даже если команда находит успешный вектор атаки, то другие направления не проверяются, если их нет в ТЗ. В отличие от «белых» хакеров настоящий злоумышленник во времени не ограничен.
  • Крупные информационные системы могут насчитывать десятки тысяч узлов. Протестировать такой объем инфраструктуры — долго. Поэтому большая часть сети остается непроверенной и уязвимой для атак. Единственный выход — одновременный пентест в разных сегментах сети, однако в таком случае расходы кратно вырастают.
  • Квалификация специалистов. Чаще всего пентестеры применяют уже известные техники, но выявить по-настоящему сложные уязвимости могут только высококвалифицированные специалисты. К сожалению, далеко не факт, что с вами будут работать именно такие пентестеры. Более того, работая с недобросовестными исполнителями, компании рискуют открыть доступ к своей информационной системе, что приводит к потере данных и утечкам.
  • Отчетность. Тесты завершаются подготовкой отчета с описанием уязвимостей, которые заказчик обязан закрыть. Но на практике проверки устранения откладываются до следующего пентеста, на котором становится ясно, что не все было корректно исправлено.

Подготовка отчетов занимает до нескольких недель. За это время конфигурации в настройках системы могут измениться, и результаты пентеста становятся неактуальными. Как итог — снова ждать следующих тестов.

Несмотря на пользу «ручной» пентест отнимает у специалистов много времени на выполнение рутинных задач. Чтобы освободить ресурс команды и направить его на решение более сложных задач, необходимо автоматизировать часть процессов тестирования.

Как устроены системы автоматизированного пентеста

В отличие от «ручного» пентеста автоматический ищет уязвимости непрерывно, не нарушая работу инфраструктуры в целом, а после готовит отчет о проделанной работе. Система выполняет только те сценарии, которые ей задали перед началом работ.

В ходе тестирования администратор в режиме реального времени наблюдает развитие атаки и ее результаты. Важно, чтобы у пользователя была возможность приостановить проверку, если есть подозрение на нарушение устойчивости системы. Полученные данные используются для настроек средств защиты информации — например, новых правил для SIEM (система управлениями событиями безопасности), NGFW (межсетевые экраны для фильтрации трафика) или отлаживания процессов реагирования.

Автоматический пентест не придумает новый способ взлома, но за короткий промежуток времени попробует десятки видов хакерских атак и масштабирует их без риска потери данных. Такие работы могут проводиться всякий раз, когда изменяется инфраструктура решения, и команде ИБ необходимо проверить надежность системы.

Из менее очевидных преимуществ — доказательность. Нередко в IT-подразделения передают уязвимости, опасность которых нельзя оценить сразу. Неизвестно, можно ли их использовать в атаке, и насколько серьезными будут последствия. В крупных инфраструктурах можно насчитать десятки таких уязвимостей. Автопентест показывает, какие из них получится использовать в векторе атаки и какие будут потенциальные риски.

Бизнес на развилке

Станет ли автоматический пентест заменой «ручному»? Если коротко — нет. Автоматизация помогает там, где специалист тратит время на однотипные действия. Придумать нетривиальную атаку или использовать метод социальной инженерии инструмент не может. Например, не получится, представившись руководителем, обзвонить сотрудников компании с просьбой срочно оплатить счет — с этим справится только человек.

Тестирование можно запустить двумя способами: с вводными параметрами (grey box) и без них (black box). В первом случае пентест запускается с уже заложенной информацией, например, авторизационными данными пользователя. Второй вариант имитирует ситуацию, в которой хакер имеет доступ к сети, но не обладает информацией о хостах, сервисах и учетных записях.

В ходе тестирования администратор в режиме реального времени наблюдает развитие атаки и ее результаты. Важно, чтобы у пользователя была возможность приостановить проверку, если есть подозрение на нарушение устойчивости системы. Полученные данные используются для настроек средств защиты информации — например, новых правил для SIEM (система управлениями событиями безопасности), NGFW (межсетевые экраны для фильтрации трафика) или отлаживания процессов реагирования.

Автоматический пентест не придумает новый способ взлома, но за короткий промежуток времени попробует десятки видов хакерских атак и масштабирует их без риска потери данных. Такие работы могут проводиться всякий раз, когда изменяется инфраструктура решения, и команде ИБ необходимо проверить надежность системы.

Из менее очевидных преимуществ — доказательность. Нередко в IT-подразделения передают уязвимости, опасность которых нельзя оценить сразу. Неизвестно, можно ли их использовать в атаке, и насколько серьезными будут последствия. В крупных инфраструктурах можно насчитать десятки таких уязвимостей. Автопентест показывает, какие из них получится использовать в векторе атаки и какие будут потенциальные риски.

Бизнес на развилке

Станет ли автоматический пентест заменой «ручному»? Если коротко — нет. Автоматизация помогает там, где специалист тратит время на однотипные действия. Придумать нетривиальную атаку или использовать метод социальной инженерии инструмент не может. Например, не получится, представившись руководителем, обзвонить сотрудников компании с просьбой срочно оплатить счет — с этим справится только человек.

Когда приходит время для «ручного» пентеста, который необходим в период крупных запусков, ИБ-команда может не повторять автоматизированные сценарии и сосредоточиться на более сложных задачах. Например, выстраивании бизнес-логики, поиске новых уязвимостей и тренинге рядовых специалистов.

Поэтому важно помнить, что автоматизация не заменит пентестера, но сэкономит время и деньги на комплексную проверку инфраструктуры. «Ручные» тесты остаются необходимым инструментом для построения надежной системы.

Автор Максим Пятаков

Источник forbes.ru

информационная безопасность хакеры Кибербезопасность хакерская атака

Новости

Популярные новости