Утечки данных, сбои в работе систем и дефейс сайта — ущерб репутации и прибыли компании. Регулярное тестирование на проникновение (пентест), как часть мероприятий аудита информационной безопасности, позволяет своевременно найти уязвимые места. Остаётся только подобрать компетентного и надёжного исполнителя, который выполнит тестирование и подготовит подробные отчёты с рекомендациями по защите корпоративных данных.
- Введение
- Критерии отбора поставщиков услуг тестирования на проникновение
- Мировой рынок услуг тестирования на проникновение
- Российский рынок услуг тестирования на проникновение
- Обзор отечественного рынка услуг тестирования на проникновение
- 5.1. Angara Security
- 5.2. BI.ZONE
- 5.3. DeteAct
- 5.4. Digital Security
- 5.5. Future Crew
- 5.6. Group-IB
- 5.7. Positive Technologies
- 5.8. «ДиалогНаука»
- 5.9. «Информзащита»
- 5.10. «Инфосистемы Джет»
- 5.11. «Лаборатория Касперского»
- 5.12. «МегаФон»
- 5.13. НТЦ «Вулкан»
- 5.14. «Перспективный мониторинг»
- 5.15. «Ростелеком-Солар»
- 5.16. УЦСБ
- Обзор зарубежного рынка услуг тестирования на проникновение
- 6.1. Cisco Systems
- 6.2. IBM
- 6.3. ImmuniWeb
- 6.4. Mandiant (FireEye)
- 6.5. Mitnick Security
- 6.6. Offensive Security
- 6.7. Rapid7
- 6.8. Redbot Security
- 6.9. Secureworks
- Выводы
Введение
Спустя время или при возникновении потребности, но большинство компаний, как крупных, так и небольших, в том числе стартапов, приходят к зрелости и пониманию необходимости проводить аудит своей инфраструктуры, наработанных схем взаимодействий, бизнес-логики сервисов, безопасности сервисов и услуг для потребителя, необходимости выполнения требований регулятора. Одним из способов провести аудит информационной безопасности в данном ключе является пентест (pentest). В рамках эфира «Тестирование на проникновение (пентесты)» эксперты компаний DeteAct, «Инфосистемы Джет», «Лаборатория Касперского», «МегаФон», «Ростелеком-Солар» и Group-IB поделились своим опытом и видением по соответствующему направлению.
В результате опроса зрителей была получена статистика, гласящая, что основными драйверами заказа услуг пентеста являются, помимо произошедших инцидентов или требований регуляторов, ещё и требования и инициатива самого бизнеса, что порадовало экспертов. Это означает, что в компании приходит понимание того, что безопасный продукт гораздо выгоднее и проще продвигать на рынке товаров и услуг, чем тот, который грозит утечкой персональных данных клиентов или ставит саму компанию под угрозу полной неработоспособности по причине атак хакерских группировок и недоступности инфраструктуры в целом, что влечёт за собой ещё и репутационные убытки и потерю доверия к предлагаемым сервисам.
Для понимания основ того, что из себя представляет пентест, чем он отличается от Red Team-тестирования, от «bug bounty» или нового автоматизированного направления в услугах проверки защищённости — BAS (Breach and Attack Simulation), стоит немного обратиться к теории. В общем понимании пентест или тестирование на проникновение — это метод оценки безопасности информационных систем посредством моделирования действий реального злоумышленника. Существует пентест внутренний (исполнитель имеет доступ в инфраструктуру заказчика или должен получить такой доступ и развить атаку) и внешний (исполнитель находится за периметром инфраструктуры и проводит аудит внешних бизнес- и веб-сервисов). В чём же различия между этими направлениями тестирования? Как понять, что использование сканера уязвимостей — это не пентест? Сведём информацию в краткую таблицу для наглядности.
Таблица 1. Сравнительная таблица основных особенностей систем и процедур тестирования защищённости
Пентест |
Red Teaming |
BAS |
Bug Bounty |
Кто осуществляет? |
|||
Внешний контрагент |
Внешний контрагент / внутренняя команда |
Внешний контрагент / внутренняя команда |
Третье лицо |
В какое время? |
|||
В оговорённое время |
Без предупреждения |
В оговорённое время |
По желанию третьего лица |
Какие действия моделируются? |
|||
Заранее оговариваются процедуры, инструментарий |
Любые действия злоумышленников |
Ограничены функциональными возможностями |
В зависимости от заинтересованности специалиста |
Каков охват работ? |
|||
Утверждённый охват работ и перечень систем и сервисов для проверки |
Любой доступный |
Утверждённый охват работ и перечень систем и сервисов для проверки |
Охват определяет либо сама компания, готовая выплатить вознаграждение за поиск уязвимостей в своих сервисах, либо сам энтузиаст |
Каков результат? |
|||
Чётко сформулированный отчёт, в том числе для передачи надзорному органу |
Возможность проверить защищающуюся команду и достаточность уровня защиты в реальных условиях атак |
Результат ограничен функциональными возможностями автоматизированных проверок |
Более обширный охват относительно тестирования своих сервисов на безопасность разными типами специалистов |
Каковы достаточность и информативность? |
|||
Максимальная достаточность и информативность, если пентестеру не были поставлены жёсткие ограничения по времени и инструментарию, корректно выбран охват работ, заказаны все необходимые услуги тестирования |
При заказе Red Teaming у внешнего вендора также возможно достичь максимального результата, но при работе собственных «красных команд» внутри компании результат зависит от квалификации специалистов и от «замыленности» их взгляда на уже знакомую инфраструктуру |
В рамках отчёта |
Может быть крайне полезным для крупных компаний с большим количеством сервисов, технологий и услуг «на борту», но результат может оказаться недостаточным для понимания угрозы |
Что в итоге?
Определённо можно сказать, что если компания заинтересована в комплексном аудите безопасности своих сервисов и систем, то пентест — отличный и разумный выбор: работы прозрачны, охват тестирования определён, результат понятен, требования регулятора или бизнеса выполнены. Поставщик услуг прояснит все этапы работ, выработает стратегию тестирования, предложит варианты устранения угроз. Важнейшим фактором является не только поиск уязвимостей и изъянов в защите, но и проверка бизнес-логики сервисов — ручной анализ процессов дистанционного банковского обслуживания (ДБО), мобильных приложений и веб-форм, обход CAPTCHA. Зачастую периметр не создаёт угроз безопасности, но сама бизнес-логика позволяет злоумышленнику или мошеннику, который вполне легитимно имеет доступ в системы компании, вывести деньги или навредить иным способом. Ещё одним важным фактором является гарантия контрагента, что его исполнители являются квалифицированными специалистами в данной области, что у них имеются сертификаты, перечень достижений на конференциях по пентестам, награды, выполненные проекты.
Отдельным плюсом является проведение проверки в направлении социальной инженерии — попытка обмана сотрудников компании для получения критически важных данных, проверка их осведомлённости в области защиты информации. Помимо прочего исполнитель может предложить услуги контролируемого стресс-тестирования или спам-атаки, взяв на проверку ещё один вектор — отказ в обслуживании.
Минусами пентеста могут быть фактор излишнего вмешательства заказчика, запрет каких-либо действий (как бы что не сломалось) и выбор крайне ограниченного перечня систем для тестирования. Недостатком также является то, что процесс пентеста — разовая акция. При динамично развивающейся инфраструктуре разовый ежегодный пентест покажет только те данные, которые есть на текущий момент времени.
Основным и главным достоинством Red Team Assessment является его комплексность, постоянность и внезапность. Специалисты по информационной безопасности не знают, когда, откуда и на какую систему будет проведена тестовая атака, какие логи смотреть, на что обратить внимание; исполнитель будет пытаться скрыть следы присутствия — по факту это инсценированное противостояние атакующего и защищающегося, Red Team vs. Blue Team. Из минусов — зависимость от опыта специалистов команды атакующих, а при работе команды сотрудников самой компании — «замыленность глаза», неспособность увидеть что-то новое в своей ИТ-инфраструктуре.
Что касается BAS, то рассматривать автоматизированную систему проведения тестирования и моделирования атак как пентест нельзя. Невозможно перевести (по крайней мере на текущий момент развития BAS) все бизнес-сервисы и веб-формы в машиночитаемый вид, также отдельной преградой стоит банальное прохождение CAPTCHA. Проверка бизнес-логики также ограничена, искусственный интеллект или машинное обучение уступают интеллекту естественному, смекалке живого специалиста. Представители поставщиков услуг пентеста в эфире Anti-Malware.ru согласились, что BAS, как и сканеры уязвимостей, необходимо применять комплексно в самом процессе пентеста или самостоятельного аудита инфраструктуры специалистами компании, автоматизируя рутинные проверки, но не полагаясь на них полностью при формировании результата тестирования.
Плюсом «bug bounty» является, во-первых, его охват: сотни специалистов будут пытаться найти уязвимости в сервисах и продуктах компании. Во-вторых, до момента обнаружения угрозы процесс бесплатен. Из минусов — специалист может просто указать на уязвимость в той мере, которой достаточно для получения вознаграждения, не проведя более никакого анализа. Также одним из недостатков является риск разглашения деталей уязвимости до того момента, когда компания устранит её, либо попытки продать выявленную уязвимость и эксплойт для неё на чёрном рынке, если официальное вознаграждение покажется недостаточным. В рамках же пентеста с аудитором обязательно заключается соглашение о неразглашении (NDA), а иногда — и противоположный по смыслу документ, «disclosure agreement», позволяющий на легитимных основаниях разглашать найденные баги или уязвимости «нулевого дня».
В заключение разговора о терминологии выделим основные типы пентестов.
- Метод чёрного ящика: исполнитель ничего не знает о цели либо имеет минимальный набор информации (URL, IP-адреса, список систем и сервисов). Применяется в основном для аудита безопасности периметра и доступных извне веб-сервисов.
- Метод серого ящика: исполнителю доступна часть информации о тестируемом объекте, но нет административных прав или схем работы. Применяется в основном для аудита ДБО, мобильных приложений и внутренней инфраструктуры. Пентестеру выдаются учётные данные обычного непривилигерованного клиента или сотрудника компании, а дальше специалист должен действовать самостоятельно — изучить бизнес-логику ДБО, провести реверс-инжиниринг, попытаться поднять привилегии до уровня администратора домена или проникнуть в закрытый сегмент (процессинговый центр, базы данных, платёжные сервисы и прочее).
- Метод белого ящика: исполнителю известно всё о тестируемом сегменте или приложении (исходный код, схемы, имеются административные полномочия). Применяется скорее не для показа возможностей взлома, а для поиска имеющихся недоработок в программных продуктах или бизнес-услугах, последствий неправильного использования продукта, возможных векторов действий ведущих ко сбою в работе, недостатков в бизнес-процессах (нехватка контроля, отсутствие регламентов).
Критерии отбора поставщиков услуг тестирования на проникновение
Определившись с необходимостью проведения пентеста, важно правильно выбрать поставщика услуг. Критерии для каждого конкретного случая могут быть разными: если требуется внешний пентест для соблюдения требований регулятора, то в данном случае охват понятен и ограничен, требуемый результат также очевиден. Для аудита PCI DSS будет взята инфраструктура процессингового центра, требования для исполнителя также определены. Но что делать, если есть потребность или желание провести комплексный аудит и проанализировать максимум возможных векторов атак? Необходимо определить для себя мерило доверия при выборе исполнителя, это могут быть:
- Совокупный опыт исполнителя, время предоставления услуг этого типа на рынке информационной безопасности.
- Регалии, награды конкретных исполнителей, команд, проектов.
- Сертификаты специалистов исполнителя, аттестация исполнителя в целом, лицензия на осуществление деятельности.
- Отзывы и рекомендации заказчиков, в том числе анонимных.
- Опыт в конкретных направлениях аудита, примеры участия в сложных проектах (высокотехнологичные компании, АСУ ТП и прочее).
- Доверие имиджу исполнителя.
- Как один из относительно новых показателей — участие в CREST. Сертификация CREST подтверждает, что компания обеспечивает необходимые квалификации исполнителей и контролирует процессы оказания услуг, а также гарантирует безопасность и стабильное качество предоставляемых сервисов.
- Запрос резюме специалистов исполнителя, проверка достоверности предоставляемой информации.
- Интервью по составленному списку собственных вопросов и требований к результату и задачам.
- Организация тестовых мини-заданий, если исполнитель малоизвестен на рынке.
Важно понимать, что количество квалифицированных пентест-специалистов в пределах России ограничено, по приблизительным оценкам — не более 300 человек, считают эксперты эфира Anti-Malware.ru. Соответственно, и выбор услуги пентеста стоит остановить на тех компаниях, для которых этот вид работ считается профильным, которые имеют штат квалифицированных специалистов и отдельного проект-менеджера для направления пентестов, который чётко понимает, что требуется от его команды, как работать с заказчиком и как добиться результата. Непрофильная компания с большой долей вероятности отдаст заказ на аутсорс с неизвестным итоговым результатом.
Также немаловажным моментом является то, что, как и у специалистов Red Team, у специалистов исполнителя также может «замылиться взгляд», если услугу пентеста из года в год заказывать у одного поставщика, а инфраструктура статична или претерпела малое количество изменений. Хорошим вариантом будет ротация подрядчиков, благо на рынке есть достаточное количество исполнителей.
В заключение на тему критериев выбора можно сказать, что даже самый добросовестный исполнитель может не найти уязвимостей критического или высокого уровня, но это не значит, что он некачественно выполнил свои обязанности: вполне вероятно, что заказчик сам поставил ему такие условия пентеста, в которых просто невозможно было что-то найти. Необходимо помнить, что пентест — это в весомой степени творческий процесс; ограничивая охват работ или инструментарий исполнителя, заказчик сам себе ставит палки в колёса, получая отчёт, который не имеет никакого отношения к реальному состоянию защиты (при этом потратив время и заплатив деньги за услугу).
Мировой рынок услуг тестирования на проникновение
Специалисты Orion Market Research ожидают, что глобальный рынок тестирования на проникновение продемонстрирует значительный рост — в среднем на 12,2 % — в ближайшие годы. Тестирование на проникновение является одним из наиболее важных методов поиска ошибок и уязвимостей, которые могут поставить под угрозу безопасность любой ИТ-инфраструктуры. По мере того как цифровизация растёт с появлением новых технологий каждые несколько лет, увеличивается потребность в безопасности и защите онлайн-платформ и веб-сервисов. Следовательно, эта потребность в безопасности также стимулирует рост рынка тестирования на проникновение.
Если говорить о спросе компаний на услуги пентестов в разбивке по размеру, то крупные компании являются первыми сторонниками тестирования на проникновение. Они наиболее уязвимы к рискам из-за большого объёма данных, генерируемых и управляемых ими.
Глобальный рынок тестирования на проникновение также сегментирован в зависимости от географии и делится на Северную Америку, Европу, Азиатско-Тихоокеанский регион и остальной мир. Специалисты Orion Market Research считают, что Северная Америка станет ведущим регионом на рынке тестирования на проникновение, а за ним последует Европа. Рост рынка в обоих этих регионах можно в основном объяснить присутствием большого числа компаний занимающихся тестированием на проникновение. Кроме того, эти регионы долгое время уделяли особое внимание безопасности и защите, что в значительной степени способствовало росту рынка.
Рисунок 1. Рост мирового рынка пентестинга по регионам, 2021–2027 гг.
В связи с этим на зарубежном рынке весьма активно развиваются предложения компаний по услугам пентеста, включающие в себя сервисы для автоматизации процесса пентеста или массового привлечения поставщиков (краудсорсинга).
Также по данным MarketsandMarkets объём мирового рынка тестирования на проникновение вырастет с 1,6 млрд долларов США в 2021 году до 3 млрд долларов к 2026 году. Основные факторы, подпитывающие рынок тестирования на проникновение, включают в себя ужесточение нормативных требований, в т. ч. относительно регулярной практики тестирования на проникновение, усложнение кибератак, приводящее к финансовым и репутационным потерям для организаций, а также рост проникновения интернета и использования смартфонов, что приводит к резкому увеличению количества критически важных для бизнеса мобильных устройств, считают эксперты. Также большое значение имеют развитие онлайн-платформ и переход на онлайн-банкинг в связи с пандемией COVID-19.
По данным Security Metrics, средняя стоимость теста на проникновение может составлять от 4 000 долларов США для небольшой организации до более чем 100 000 долларов США для крупной организации. Эксперты Security Metrics также предполагают, что любая проверка, которая стоит менее 4 000 долларов США, вероятно, не является настоящим тестом на проникновение и скорее эквивалентна поиску уязвимостей.
Ниже мы рассмотрим следующие иностранные компании, которые предлагают услуги пентеста:
- Cisco.
- IBM.
- ImmuniWeb.
- FireEye.
- Mitnick Security.
- Offensive Security.
- Rapid7.
- Redbot Security.
- Secureworks.
Российский рынок услуг тестирования на проникновение
Российский рынок информационной безопасности регламентирован регуляторами, поэтому нельзя проводить пентест только по собственному желанию (или его отсутствию) — как минимум в отношении тех компаний, защита информации которых жёстко регулируется нормативными документами ФСТЭК, ФСБ и Банка России. Анализ защищённости должен проводить только лицензированный исполнитель.
Отметим, что благодаря регуляторам проведение пентестов сейчас внедряется в процесс защиты информации корпоративного сегмента. Часто компании обращаются к специалистам по тестированию защищённости только получив соответствующие требования контролирующих органов. В то же время доля заказчиков, которые покупают услуги пентеста для экспертной оценки защищённости периметра, состояния систем защиты и безопасности веб-сервисов, растёт. Возникновение и работа таких площадок, как «Иннополис» или «Сколково», позволяет выйти на рынок множеству ИТ-компаний и стартапов; часть из них уже заранее понимает важность безопасной разработки, защищённости своей инфраструктуры и данных будущих клиентов.
Согласно аналитике экспертов компании Positive Technologies, ведущими заказчиками тестирований на проникновение остаются финансовые и ИТ-компании.
Рисунок 2. Разделение заказчиков по направлениям рынка
Ниже мы рассмотрим следующие отечественные компании, которые предлагают услуги пентеста:
- Angara Security.
- BI.ZONE.
- DeteAct.
- Digital Security.
- Future Crew.
- Group-IB.
- Positive Technologies.
- «ДиалогНаука».
- «Информзащита».
- «Инфосистемы Джет».
- «Лаборатория Касперского».
- «МегаФон».
- НТЦ «Вулкан».
- «Перспективный мониторинг».
- «Ростелеком-Солар».
- УЦСБ.
Обзор отечественного рынка услуг тестирования на проникновение
Angara Security
Angara Security — группа компаний, предоставляющая более 20 видов услуг в области информационной безопасности, включая в том числе и тестирование на проникновение. Эксперты проводят анализ защищённости для внешнего периметра и внутренней сети, веб- и мобильных приложений, беспроводных сетей, а также другие виды инфраструктурных тестирований на проникновение, имитируют действия злоумышленников. Перечень возможных сценариев помимо прочего включает в себя выявление нестойких паролей, непрерывный мониторинг, Red Team Operations, пентест 1С, социотехническое тестирование.
При выполнении анализа защищённости команда экспертов Angara Security использует собственную методику, основанную на общепринятых стандартах, таких как OSSTMM, PTES, OWASP, WASC и другие, а также опыт приобретённый в процессе выполнения аналогичных работ на проектах и на тренировочных площадках. В ходе работ помимо экспертно-аналитических действий применяются как коммерческие решения, зарекомендовавшие себя на рынке, так и собственные инструменты Angara Security.
Подробнее с услугой можно ознакомиться на сайте компании.
BI.ZONE
Команда BI.ZONE создаёт различные средства автоматизации защиты информационной инфраструктуры и приложений для заказчиков по всему миру. Также специалисты компании проводят исследования продуктов созданных другими командами. Одним из основных направлений деятельности BI.ZONE является проведение тестирований на проникновение. Эксперты выполняют как внешние проверки, так и внутренние, что позволяет обнаружить не только уязвимости периметра, но и проблемы внутри самой компании-заказчика. На основе проводимых исследований определяются способы несанкционированного получения информации и разрабатываются рекомендации по устранению выявленных уязвимостей с целью повысить уровень безопасности информационной инфраструктуры.
В своём портфолио компания имеет более 500 проведённых тестов на проникновение. Услуга помогает выявить уязвимости в веб-приложениях и инфраструктуре, определить эффективность применения СЗИ, оценить риски и достичь соответствия требованиям регуляторов. Также компания предлагает услугу Continuous Penetration Testing — постоянное и непрерывное сканирование внешнего периметра заказчика на предмет появления новых угроз с предварительной верификацией найденных изменений. Найденные уязвимости верифицируются вручную специалистами исполнителя, а подтверждённые — сопровождаются рекомендациями по устранению. Вся собранная информация доступна заказчику на едином портале BI.ZONE CPT, где отображаются список и количество доступных сетевых портов, списки наиболее опасных и устранённых уязвимостей, лента событий, визуализация метрик по уязвимостям. Бреши также оцениваются по системе CVSS.
Подробнее с услугой можно ознакомиться на сайте компании.
DeteAct
DeteAct — сравнительно молодая компания, которая специализируется на предоставлении услуг по защите приложений и тестированию на проникновение. На прошедших 23–25 июля прошлого года соревнованиях «HTB Business CTF 2021» команда компании заняла седьмое место в мире и первое — среди российских. Специалисты DeteAct проводят анализ защищённости мобильных и веб-приложений, внутренние и внешние пентесты, аудит безопасности, а также оказывают поддержку во внедрении сканеров уязвимостей в процесс разработки приложений.
Достоинством услуги является то, что помимо разовых тестирований возможно также проведение непрерывного пентеста (Penetration Testing-as-a-Service, PTaaS), предполагающее автоматизацию большей части процесса, включая генерацию отчётов. Такой подход требует участия меньшего количества специалистов и, как следствие, является более дешёвым.
Подробнее с услугой можно ознакомиться на сайте компании.
Digital Security
Digital Security — организатор ежегодной обучающей программы для специалистов «Summ3r 0f h4ck», в рамках которой оцениваются знания по веб-приложениям и *nix-системам, а также умения находить уязвимости в мобильных приложениях. В активе компании — проведение аудитов информационной безопасности, тестирований на проникновение, а также полноценные симуляции кибератак по моделям Red Team Assessment и Purple Teaming (более «щадящая» вариация Red Teaming).
Специалисты Digital Security проводят следующие типы проверок: тестирование внешнего контура и внутренней инфраструктуры, анализ беспроводных сетей и тесты с применением социальной инженерии. Помимо веб-приложений оцениваются бизнес-программы, мобильные приложения и облачные сервисы. По итогам проведённых тестов формируется перечень выявленных уязвимостей и способов их эксплуатации, даются оценка эффективности применяемых средств и мер защиты и рекомендации по устранению выявленных уязвимостей. Среди заказчиков можно найти ВТБ, «Рамблер», «1С-Битрикс», «Газпромбанк», «Теле2», «Альфа-Банк» и иные крупные организации.
Подробнее с услугой можно ознакомиться на сайте компании.
Future Crew
CICADA8 — это система проактивной защиты от киберугроз с автоматизированными и экспертными сервисами от центра инноваций МТС Future Crew. Команда отрабатывает найденные векторы атак с ИБ-функциями заказчиков благодаря специально созданной платформе управления уязвимостями.
Одно из ключевых направлений работы CICADA8 — это тестирование на проникновение. Пентесты 24×7 позволяют выявлять угрозы на ранних стадиях и немедленно на них реагировать.
Анализ защищённости CICADA8 включает в себя:
- Внутреннее тестирование на проникновение. Позволяет оценить, насколько инфраструктура организации уязвима к действиям инсайдеров. Атака проводится из внутренней сети заказчика.
- Внешнее тестирование на проникновение. В ходе исследования моделируется работа хакера: специалисты команды проникают внутрь организации, не имея доступов и привилегий.
- Социотехническое тестирование. Проверка возможности проникновения в защищённую инфраструктуру заказчика с помощью социальной инженерии. В ходе такой атаки целью являются сотрудники компании.
- Анализ защищённости мобильных приложений позволяет выявить уязвимости и определить возможные последствия их эксплуатации. При этом определяются возможности получения доступа к конфиденциальным и персональным данным. Также команда CICADA8 формирует рекомендации по устранению уязвимостей или принятию компенсационных защитных мер.
- Анализ защищённости веб-приложений позволяет выявить недостатки защиты и избежать рисков. Используются три метода тестирования: «чёрный ящик», когда у атакующей команды нет дополнительной информации и привилегий, «серый ящик», т. е. атака с предварительным получением частичной информации, например пользовательских учётных записей или данных об архитектуре, и «белый ящик», когда команда располагает полной информацией о веб-приложении, включая исходные коды.
Подробнее с услугами CICADA8 можно ознакомиться на сайте.
Group-IB
Group-IB — международная компания, известный разработчик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в интернете. Штаб-квартира расположена в Сингапуре, а центры исследования киберугроз — на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).
Анализ защищённости компании направлен на оценку безопасности внешних и внутренних ресурсов, мобильных приложений и систем дистанционного банковского обслуживания. В охват услуги входит и социальная инженерия — непосредственное взаимодействие с сотрудниками заказчика для оценки их реакции на возможные попытки проведения атак. По результатам проведённых мероприятий заказчику даётся детализированный отчёт, который содержит технические и аналитические результаты. Более зрелые предприятия, уверенные в своих системах защиты информации, также могут приобрести услуги Red Teaming, заключающиеся в реалистичной имитации атак на информационную инфраструктуру предприятия на постоянной основе с использованием инструментов, которые применяются настоящими злоумышленниками. Red Teaming позволяет определить не только уязвимости инфраструктуры предприятия, но и степень готовности технических специалистов заказчика к отражению реальных атак. Для работы над проектами аудиторы Group-IB используют как общепризнанные инструменты и технологии, так и собственные запатентованные разработки, доказавшие свою эффективность в ходе более чем 800 успешно реализованных проектов по анализу защищённости во многих странах мира.
Подробнее с услугой можно ознакомиться на сайте компании.
Positive Technologies
Российская компания Positive Technologies зарекомендовала себя как разработчик широкого спектра инструментов информационной безопасности. Однако помимо создания программного обеспечения и комплексных решений она также оказывает консультационные услуги и услуги киберучений. Positive Technologies выполняет внутренние и внешние пентесты, анализ защищённости систем ДБО, веб- и мобильных приложений, беспроводных сетей, банкоматов, систем АСУ ТП, оценку осведомлённости сотрудников в области ИБ, стресс-тестирование персонала заказчика с применением метода Red Teaming.
В компании выделяют три комплексных услуги в области пентеста: «Pentest 365», который является не разовым мероприятием, а длительным процессом, проводимым в течение года с применением инструментальных и ручных методов анализа внешнего периметра заказчика; симуляция атаки организованной команды злоумышленников, включая подготовку и использование всех доступных векторов атак (внешние и внутренние уязвимости, применение методов социальной инженерии); «Red Team vs Blue Team», когда команда PT SWARM эмулирует действия злоумышленников, а команда PT Expert Security Center одновременно с этим помогает ИБ-службе заказчика в реагировании на возникающие угрозы. По каждому выполненному проекту предоставляется детальный и понятный аналитический отчёт, в котором содержатся сведения обо всех обнаруженных уязвимостях, рекомендации по их устранению, информация о возможных угрозах. Всего в 2021 году компания реализовала более 150 проектов по пентесту.
Подробнее с услугой можно ознакомиться на сайте компании.
«ДиалогНаука»
С момента образования в 1992 году российская компания «ДиалогНаука» специализируется на информационной безопасности. В настоящее время она оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания располагает штатом высококвалифицированных специалистов и имеет большой опыт реализации различных видов пентестов. У «ДиалогНауки» есть все необходимые статусы и аккредитации, позволяющие проводить тестирование на проникновение в рамках выполнения требований Положений Банка России по защите информации, а также требований SWIFT CSP и PCI DSS.
При проведении работ используется собственная методика пентеста, базирующаяся на широко распространённых методологиях и стандартах, таких как OSSTMM, ISSAF и PCI DSS, документах NIST SP800-115, OWASP, PTES, PWK и других. Тест на проникновение может проводиться по модели как внешнего нарушителя, так и внутреннего. Перечень моделируемых сценариев проникновения согласовывается на этапе подготовки технического задания и дополнительно может корректироваться в ходе выполнения работ.
Более подробную информацию можно найти на официальном сайте.
«Информзащита»
Компания «Информзащита» c момента основания в 1995 году и до настоящего времени фокусируется на разработке и внедрении средств защиты информации. Специалисты «Информзащиты» занимаются следующими видами пентестов: внешнее тестирование на проникновение методом чёрного или серого ящика; внутреннее тестирование с попытками получить несанкционированный доступ к серверам, базам данных и компьютерам через уязвимости программного обеспечения и сетевого оборудования, некорректные настройки и найденные учётные записи; социотехнические тесты, с помощью которых проверяется уровень подготовки сотрудников в вопросах ИБ; анализ защищённости беспроводных сетей.
Помимо стандартных пентестов возможны проверки по методике Red Team Assessment, предполагающие скрытые от всего персонала заказчика (включая службу ИБ) испытания. Также компания проводит полноценные киберучения, занимается реализацией непрерывного мониторинга инфраструктуры заказчика и нагрузочного тестирования.
Подробнее с услугой можно ознакомиться на сайте компании.
«Инфосистемы Джет»
«Инфосистемы Джет» — российский системный интегратор в сфере информационных технологий — среди прочего выполняет работы по тестированию на проникновение. Специалисты компании начали реализовывать проекты по пентесту с 2010 года, сейчас в «Инфосистемах Джет» выполняется более 50 подобных проектов ежегодно. В портфеле компании — услуги по тестированию внешнего периметра, веб-ресурсов, внутренней инфраструктуры, сетей Wi-Fi, мобильных приложений, а также по социальной инженерии, анализу исходного кода, имитации DDoS-атак и операций бот-сетей. За последние несколько лет компания также реализовала несколько успешных проектов Red Team и Purple Team.
Команда специалистов активно участвует в программах Bug Bounty, конференциях по ИБ, регулярно регистрирует CVE (уязвимости 0-day) и публикует технические статьи. Специалисты проводят работы как удалённо, так и на площадках заказчика, в том числе в командировках по всей стране и за её пределами. Практический анализ защищённости может проводиться компанией «Инфосистемы Джет» как отдельно, так и в рамках комплексных проектов по комплаенсу, аудиту, внедрению новых СЗИ, оценке зрелости и составлению дорожной карты развития ИБ с учётом всех полученных результатов.
Подробнее с услугой можно ознакомиться на сайте компании.
«Лаборатория Касперского»
Одним из поставщиков услуг по проведению тестирования на проникновение является «Лаборатория Касперского», которая активно развивает сервисное направление. Компания предлагает несколько видов пентестов: внешнее и внутреннее тестирование на проникновение, проверка с использованием методов социальной инженерии и анализ защищённости беспроводных сетей. Некоторые виды тестирования могут быть выполнены удалённо, для некоторых иных проверок возможен выезд специалиста непосредственно на предприятие. Тесты проводят специалисты с обширным опытом (многие работают в компании более 10 лет), которые регулярно участвуют в профессиональных конференциях и публикуют статьи в тематических изданиях. По результатам проведённых испытаний формируется подробный отчёт, содержащий информацию об обнаруженных уязвимостях и наиболее вероятных векторах возможных атак, рекомендации по устранению проблем. По желанию заказчика также дополнительно могут быть подготовлены презентационные материалы для представления руководителю.
Помимо тестирования на проникновение компания оказывает услугу Red Teaming. Она имеет много общего с реальной хакерской атакой и позволяет на практике оценить эффективность мер защиты, однако, в отличие от тестирования на проникновение, результатом являются не списки найденных уязвимостей, а выводы о качестве защиты анализируемого объекта и рекомендации по её улучшению. «Лаборатория Касперского» также предлагает анализ защищённости АСУ ТП, направленный на выявление различных уязвимостей и их возможных последствий на всех уровнях предприятия, планирование дальнейших действий по устранению обнаруженных недостатков и повышению безопасности. Ещё одной востребованной услугой является анализ защищённости приложений, позволяющий выявить уязвимости в разработках любого типа, от крупных облачных решений, ERP-систем, комплексов онлайн-банкинга и других конкретных бизнес-приложений до встроенных и мобильных программ на разных платформах (iOS, Android и другие).
Подробнее с услугой можно ознакомиться на сайте компании.
«МегаФон»
Удачную попытку занять популярную сейчас нишу предоставления услуг по проведению пентестов предпринял оператор связи из «большой четвёрки». Компания «МегаФон» оказывает услуги по проведению внешних и внутренних пентестов, а также выполняет работы по поиску уязвимостей в мобильных и веб-приложениях. По результатам проведённых мероприятий составляется подробный, практически пошаговый план устранения выявленных уязвимостей и повышения надёжности информационной инфраструктуры предприятия. По желанию заказчика может быть заключена договорённость о повторном проведении пентеста для проверки эффективности внедрённых мер защиты.
Несмотря на то что компания недавно пришла на рынок оказания услуг по информационной безопасности, в её активе уже есть успешно выполненный пентест информационной инфраструктуры одного из 20 крупнейших банков России. Благодаря проведённой работе удалось обнаружить несколько уязвимостей, в том числе одну способную привести к утечке пользовательских данных. Помимо этого команда «МегаФона» уже реализовала несколько десятков крупных проектов в финансовой сфере, промышленности, КИИ.
Подробнее с услугой можно ознакомиться на сайте компании.
НТЦ «Вулкан»
Специализация компании — экспертиза, консультирование и интеграция технологий и решений по ИБ. Проекты компании ориентированы на комплексное решение задач соответствия требованиям, оптимизации затрат и снижения рисков в ИБ. В активе НТЦ «Вулкан» — успешный опыт реализации проектов аудита, создания и развития систем ИБ для таких организаций, как «Сбер», «Банк Санкт-Петербург», «ДОМ.РФ», «Группа Тинькофф», «Ингосстрах», «СОГАЗ», «Московская Биржа», «Ростелеком», МТС, «МегаФон», «Вымпелком», «Т2 Мобайл», МГТС, МТТ, предприятия ГК «Роскосмос», «Лукойл», «Роснефть», «Мосэнерго», «РусГидро», «Роснедра», «Росгвардия», ФНС, МЧС, ДИТ г. Москвы и мн. др.
В части различных проверок инфраструктуры заказчика может быть проведён аудит безопасности в виде полноценных киберучений, призванных оценить реакцию специалистов по информационной безопасности на типовые сценарии кибератак. Также специалисты компании проводят тестирования на проникновение всех видов, включающие в себя моделирование действий внутреннего и внешнего нарушителя, использование методов социальной инженерии. Проверке подвергаются вся сетевая инфраструктура, в том числе беспроводные сети, а также мобильные и веб-приложения. По результатам работ формируется отчёт с указанием проведённых проверок и полученных результатов. По каждой обнаруженной уязвимости приводится оценка рисков и представляется набор рекомендаций по устранению проблемы. При желании провести более комплексный анализ инфраструктуры и проверить профессионализм специалистов по информационной безопасности предоставляется услуга Red Teaming на срок от двух месяцев.
Подробнее с услугой можно ознакомиться на сайте компании.
«Перспективный мониторинг»
Компания «Перспективный мониторинг» (входит в ГК «ИнфоТеКС») занимается исследованиями состояния безопасности информационных систем и программных продуктов, мониторингом и предотвращением атак, расследованиями инцидентов, разрабатывает решения по информационной безопасности. Предлагаются исследования защищённости по различным направлениям: веб, мобильные приложения, прикладные сервисы DMZ и внутренних сетей, беспроводные сети, средства защиты информации. Также объектом исследования могут стать люди, если реализуется проект тестирования на проникновение с применением методов социальной инженерии.
Пентестеры помогают заказчикам и с выполнением нормативных требований в части обеспечения информационной безопасности объектов КИИ, кредитных и некредитных финансовых организаций. Заказчиками услуги становятся производственные компании, банки, страховые фирмы, НПФ, государственные организации. Из разовых проектов по тестированию на проникновение со временем развились услуги редтиминга и проведения киберучений на учебно-тренировочной платформе Ampire.
Подробнее с услугой можно ознакомиться на сайте компании.
«Ростелеком-Солар»
Компания «Ростелеком-Солар» — один из авторитетных участников рынка сервисов и продуктов по кибербезопасности, а также интеграции средств защиты информации — предоставляет и услуги по проведению тестирования на проникновение. Команда «Ростелеком-Солара» может провести пентест внешней и внутренней инфраструктур, анализ защищённости приложений, систем и сетей. Эксперты также реализуют киберучения в формате Red Teaming, которые позволяют тренировать службы безопасности, выявлять векторы потенциальных атак, проверять возможность получения опасных доступов или извлечения значимых данных при целенаправленных атаках.
У команды «Ростелеком-Солара» — богатый опыт проведения подобных работ. Эксперты успешно реализовали проекты для компаний из разных секторов: государственного, финансового, промышленного, телекоммуникационного и др. Специалисты «Ростелеком-Солара» участвуют в крупнейших ИБ-соревнованиях и мероприятиях.
Подробнее с услугой можно ознакомиться на сайте компании.
УЦСБ
«Уральский центр систем безопасности» — компания оказывающая услуги в области проектирования, разработки, внедрения и сервисной поддержки решений по обеспечению безопасности современных информационных систем, инженерно-технических систем охраны, центров обработки данных и корпоративных сетей связи для банковских структур, операторов связи, государственных организаций, предприятий промышленного сектора и других отраслей экономики.
Анализ защищённости информационных систем и тестирование на проникновение входят в число основных направлений деятельности УЦСБ. При проведении работ проводится детальное обследование систем заказчика, выявляются уязвимости и векторы атак на информационные активы. Используя методики на основе международных стандартов и рекомендаций (NIST, OWASP, PCI DSS, EC-Council), специалисты УЦСБ оценивают защищённость информационных систем любого масштаба и любой сложности. В портфолио УЦСБ — более 100 завершённых проектов по анализу защищённости, команда состоит из специалистов с международными сертификатами (CISA, CISSP, CEH, CHFI, OSCP, OSWE, OSCE) и опытом выявления уязвимостей в информационной безопасности.
Подробнее с услугой можно ознакомиться на сайте компании.
Обзор зарубежного рынка услуг тестирования на проникновение
Cisco Systems
Один из лидеров рынка сетевых устройств не остаётся в стороне и предлагает свои услуги по проведению пентестов. Специалисты Cisco выполняют все виды тестирований на проникновение, выполняется проверка сетевой инфраструктуры заказчика как на предмет уязвимостей внешнего контура, например вследствие неправильной настройки межсетевого экрана и иных сетевых устройств, так и на наличие проблем внутри сети, например в настройке групповых политик и систем обнаружения вторжений. Дополнительно проводится проверка беспроводных сетей и устройств IoT, которые используются на предприятии, на предмет возможности злоупотребления ими извне и наличия уязвимых протоколов.
Кроме того, специалисты Cisco предоставляют услуги по проверке веб-приложений на наличие уязвимостей. Помимо программных методов проверки проводятся также тестирования персонала, включающие в себя пентест с использованием методов социальной инженерии и имитацию физического проникновения на предприятие с целью получения каких-либо ценных сведений и документов. Среди предложений Cisco есть и Red Teaming.
Подробнее с услугой можно ознакомиться на сайте компании.
IBM
Компания IBM, являясь одним из крупнейших в мире производителей и поставщиков аппаратного и программного обеспечения, также предоставляет платформу тестирования на проникновение — X-Force Red. Она позволяет самостоятельно выбрать наиболее актуальные и критически важные направления пентеста компании-заказчика, определить приоритетность приложений, сетей, устройств и других активов, нуждающихся в проверке. В рамках платформы возможно настроить ежемесячные процедуры тестирования.
IBM предлагает широкий спектр услуг: тестирование мобильных и веб-приложений, IoT, проверка безопасности периметра инфраструктуры и внутренних сетей на логические ошибки, лазейки и неправильные конфигурации. Можно протестировать программы на предмет уязвимостей допущенных во время разработки, оценить исходный код и данные в информационных системах и за их пределами, выявить изъяны в реализации продукта и внешних библиотеках, а также предпринять попытки спровоцировать сотрудников на раскрытие конфиденциальной информации. Также компания предоставляет услуги по тестированию облачных сред, контейнерной инфраструктуры. Особым пунктом выделено тестирование сети банкоматов, блокчейна и автомобильной промышленности.
Подробнее с услугой можно ознакомиться на сайте компании.
ImmuniWeb
Швейцарская компания, работающая по направлениям защиты приложений, аудита информационной безопасности и соответствия нормативным требованиям европейского законодательства, также предлагает большое количество услуг в рамках тестирования на проникновение. Помимо этого компания занимается разработками в области машинного обучения и защиты информации в рамках собственной платформы ImmuniWeb AI.
По направлению тестирования на проникновение ImmuniWeb предлагает услуги по проверке мобильных приложений, API и облачных сред, анализ соблюдения норм GDPR и PCI DSS, внешнее тестирование периметра, Red Teaming, проверку безопасности WAF заказчика, постоянный пентест (24×7) и другие подобные сервисы.
Подробнее с услугой можно ознакомиться на сайте компании.
Mandiant (FireEye)
Американская компания FireEye специализируется на разработке комплексных решений для обеспечения информационной безопасности, в том числе для защиты облачных сред, почтовых серверов, сетевой инфраструктуры и конечных точек. Кроме того, компания предоставляет услуги по оценке эффективности мер защиты с применением собственного инструментария для заказчиков работающих в сферах здравоохранения, образования, финансов, а также для государственных компаний.
Услуги аудита и тестирования на проникновение предоставляет отдельная компания Mandiant, которая уже более 14 лет занимается информационной безопасностью и киберразведкой. Mandiant предлагает широкий спектр услуг тестирования: внешний и внутренний пентест, проверка веб-приложений, аудит мобильных устройств, проведение атак по направлению социальной инженерии, проверка беспроводных сетей, IoT.
Подробнее с услугой можно ознакомиться на сайте компании.
Mitnick Security
Американская компания Mitnick Security с 2003 года специализируется на информационной безопасности. Основатель и директор компании Кевин Митник является известной фигурой в сфере ИБ и автором книг о социальной инженерии. Специалисты Mitnick Security выполняют широкий спектр работ по аудиту инфраструктур предприятий. Команда состоит из более чем 80 человек по всему миру и проводит работы по всему разнообразию видов пентеста.
Основным направлением проверок являются атаки использующие человека в качестве главного уязвимого элемента. По согласованию с заказчиком компания может провести тестирование на физическое проникновение на объекты его инфраструктуры, а также осуществить полноценную кибератаку по модели Red Team Assessment с дальнейшим предоставлением подробного отчёта.
Подробнее с услугой можно ознакомиться на сайте компании.
Offensive Security
Компания — создатель Kali Linux и Exploit-DB занимается подготовкой и сертификацией специалистов по информационной безопасности, в том числе специалистов по пентестам (OSCP). Специалисты тщательно подходят к тестированию, поэтому в среднем в год проводят проверки лишь около 10 компаний, преимущественно относящихся к государственному и финансовому секторам, а также сфере здравоохранения. Отчёты, которые формируются по итогам пентестов, рассчитаны прежде всего на технических специалистов и могут быть малопонятными для руководства, поэтому может потребоваться их дополнительная адаптация.
Специалисты Offensive Security проводят всестороннее обследование инфраструктуры, включая внешнее и внутреннее тестирование, рассчитывают на долгосрочное сотрудничество в рамках обследования и дальнейшего сопровождения ликвидации найденных угроз, создают индивидуальную модель злоумышленника и за раз берут в работу только одного клиента.
Подробнее с услугой можно ознакомиться на сайте компании.
Rapid7
Rapid7 — один из ведущих поставщиков решений в области безопасности, данных и аналитики. Ему доверяют более 9900 организаций, в том числе 45 % компаний из списка Fortune 1000 в ста странах. Rapid7 является разработчиком продукта Insight Platform, соединяющего в себе несколько средств защиты информации, а также одного из лучших инструментов для пентестеров Metasploit. С использованием последнего, в том числе, компания выполняет все виды проверок.
Помимо стандартных пентестов внешнего периметра и внутренней инфраструктуры заказчика специалисты компании выявляют уязвимости в беспроводных сетях, мобильных и веб-приложениях по методологиям OSSTMM, OWASP и PTES. Учитывая то что, как правило, самым уязвимым элементом в любой системе является человек, предоставляются услуги пентеста с использованием методов социальной инженерии. В дополнение ко всему вышеуказанному специалисты компании готовы провести полноценные киберучения по методике Red Teaming с использованием передовых технологий и инструментов.
Подробнее с услугой можно ознакомиться на сайте компании.
Redbot Security
Американская компания Redbot Security с 2016 года предоставляет услуги по тестированию на проникновение в информационные инфраструктуры различных компаний. Работы выполняются удалённо, при необходимости можно вызвать специалистов на предприятие. Эксперты проводят внутренние и внешние тесты сетей, включая беспроводные, приложений (в том числе мобильных), IoT, а также автоматизированных индустриальных и транспортных систем. Если заказчик уверен в своих специалистах по ИБ и хочет полностью испытать свою систему защиты информации, Redbot Security оказывает услуги тестирования по модели Red Team Assessment.
Тестирование на проникновение проводится командой инженеров, которые работают в этой области более 30 лет и проводят аудит малого и среднего бизнеса, промышленных предприятий, правительственных и военных организаций по всему миру. Помимо этого, специалисты исполнителя могут помочь в закрытии уязвимостей и устранении проблем в безопасности.
Подробнее с услугой можно ознакомиться на сайте компании.
Secureworks
Secureworks — один из лидеров в области кибербезопасности, который защищает своих клиентов с помощью Secureworks Taegis — облачной аналитической платформы, чьи принципы работы основаны на более чем 20-летнем опыте защиты от реальных угроз. Secureworks Adversary Group — это специальная команда тестировщиков безопасности, которые используют целевую методологию и запатентованные инструменты и тактики с использованием новейших данных, собираемые и подтверждаемые Secureworks Counter Threat Unit, собственной исследовательской группой в области информационной безопасности.
Каждый тест на проникновение, проводимый группой специалистов Secureworks, уникален и разработан для того, чтобы показать, как злоумышленник может получить несанкционированный доступ к инфраструктуре заказчика. Специалисты используют самые актуальные инструменты тестирования, проводят проверки внешнего периметра и внутренней инфраструктуры, беспроводных сетей, занимаются целевым фишингом в рамках социальной инженерии. Также предлагаются услуги Red Teaming и Purple Teaming (обучение и корректировка работы команды защитников).
Подробнее с услугой можно ознакомиться на сайте компании.
Выводы
По прогнозам аналитиков, спрос на услуги пентеста должен расти в связи с активной цифровизацией процессов бизнеса, развитием телекома, онлайн-банкинга, социальных и государственных услуг. В частности, это можно объяснить распространением смартфонов, мобильных приложений для них, а также текущей ситуацией с пандемией COVID-19. Увеличение количества цифровых платежей, внедрение новых информационных технологий и другие подобные процессы вынуждают предприятия и учреждения оценивать уязвимости в области безопасности, разрабатывая новые документы, регламентирующие процесс тестирования на проникновение.
На российском рынке достаточно компаний, которые оказывают услуги пентеста. Организации могут найти подрядчика именно под свои нужды и системы: от проверки IoT-устройств до тестирования корпоративных инфраструктур и приложений. Регулярность может варьироваться от разовых контрольных проверок до полноценной передачи работ по тестированию безопасности инфраструктуры стороннему исполнителю. Анализ не ограничивается технической проверкой систем и бизнес-логики, при необходимости расширяясь за счёт методов социальной инженерии и стресс-тестирования. Главное — заказчик должен чётко понимать, что он хочет получить от услуги пентеста и какого результата требуется достичь. Останется только подобрать квалифицированного исполнителя и получить комплексный многогранный отчёт, который поможет в полной мере оценить защищённость своей инфраструктуры и перечня предоставляемых сервисов и услуг, а также выполнить требования регулятора.