Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»
В 2006 году окончил Санкт-Петербургский государственный университет водных коммуникаций, получив квалификацию «специалист по защите информации». Имеет международные сертификаты по практической информационной безопасности CISSP, OSCP, AWS и многие другие.
Опыт в сфере информационной безопасности — более 15 лет. Ранее занимался построением безопасных ИТ-инфраструктур в различных компаниях. С 2009 года по настоящее время работает в компании «Газинформсервис». С 2010 года — руководитель группы защиты инфраструктурных ИТ-решений.
События последних месяцев вызвали сейсмические сдвиги в ландшафте отечественной информационной безопасности. Как изменился спрос на пентесты в свете главных трендов на российском ИБ-рынке? Что чаще всего тестируют заказчики и как правильно выбрать команду пентестеров? На эти и другие вопросы нам ответил Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».
Сергей, пентест — инструмент не новый, но многие до сих пор плохо понимают, когда он максимально эффективен и необходим. На ваш взгляд, тестирование на проникновение — это средство реагирования на утечки или всё же механизм их профилактики?
С. П.: Бывает по-разному. Кто-то заказывает пентест после того, как сработала система защиты; кто-то — для её диагностики после ликвидации последствий атаки. А кто-то устраивает регулярные пентесты, считая, что независимая оценка уровня защищённости дополнит ранее проведённый аудит.
В целом, пентесты — это инструмент для оценки безопасности. Пентесты — это и не средство защиты, и не средство профилактики. Это способ убедиться в том, что система выстроена правильно. На практике проверить, есть ли какие-то слабые места.
Есть ли ограничения в зависимости от рода деятельности компании? Какому бизнесу необходимо проведение пентестов?
С. П.: Прежде всего, есть компании, которые по закону обязаны проверять уровень своей безопасности. Это кредитно-финансовые организации, компании имеющие объекты КИИ и им подобные.
ЦБ регулярно выпускает документы, обязывающие проводить подобные тестирования в том или ином виде. Также есть международные стандарты, рекомендующие регулярный пентест. Обычно тестированию подвергают различные элементы собственной внутренней инфраструктуры.
Компании, которые не имеют обязательств перед законом, могут проводить пентест исходя из того, есть ли у них сведения, потеря которых будет иметь критические последствия для работы.
Если компания практически не имеет выхода в интернет и обрабатывает данные, которые легко восстановить, то их потеря не нанесёт серьёзного урона. В этом случае нет смысла приглашать пентестеров, потому что услуга эта — недешёвая.
В то же время небольшой стартап, в котором люди работают, например, с медицинскими данными, обязан периодически тестировать свой уровень безопасности. Это просто здравый смысл, так как медицинские данные — это чувствительная информация.
Дело в том, с какими именно данными в компании работают и насколько опасной будет их потеря.
Если данные стоят дороже, чем средства для их защиты, тогда инвестиции в СЗИ имеют смысл.
Может ли такой инструмент, как сканер уязвимостей, заменить тестирование на проникновение? Их производители часто заявляют, что это практически равносильная замена.
С. П.: Сканирование уязвимостей — это скорее начало пентеста. Вы сканируете то, что есть вокруг вас, и смотрите, что может стать точкой входа для злоумышленников. В этот момент сканер заканчивает свою работу и выдаёт отчёт о том, что, например, просканировано 100 хостов, на двух из них есть потенциальные уязвимости и нужно что-то предпринять. И это — всё.
Пентестер же, закончив сканирование, начинает предпринимать действия, чтобы развить атаку дальше.
Сканер не тестирует на проникновение, он просто собирает статистику.
Он сообщает о наличии в вашей сети определённого количества сервисов, указывает, какие из них, скорее всего, уязвимы, и генерирует отчёт, в котором перечислены потенциальные угрозы.
Сканер, например, не понимает, что существуют компенсирующие решения. Сканер — вещь нужная, но это — самое начало. Лучше, чем ничего, но не замена пентесту.
Сейчас появились решения с применением искусственного интеллекта. Они производят сканирование и по результатам запускают заранее приготовленные эксплойты. На основе анализа действия эксплойтов они принимают решения, куда двигаться дальше. Таких продуктов на рынке сейчас ещё совсем немного, но, думаю, у них большой потенциал.
Ещё два близких понятия, которые часто путают с пентестом, — аудит ИБ и баг-баунти. Чем они отличаются друг от друга? Что выгоднее для крупного бизнеса?
С. П.: Аудит — это просто проверка соответствия вашей системы какому-то стандарту. Так, аудиторы могут проверить, например, сложность паролей или наличие межсетевых экранов. Эти проверки весьма далеки от пентеста, ведь он проверяет реальный уровень защищённости, а вот участие в программе баг-баунти — это тот же пентест. Компании запускают программу поиска уязвимостей (bug bounty) и предлагают вознаграждение всем желающим за то, чтобы участники программы взломали их систему или конкретные её элементы.
Стоит оговориться, что данный подход используется весьма ограниченно. Во-первых, желающих поучаствовать всегда очень много и есть риск, что ваша инфраструктура не выдержит большого наплыва хакеров и просто перестанет работать. Во-вторых, не факт, что неизвестный, но крайне опытный пентестер, найдя критическую уязвимость, сразу поделится с вами, а не воспользуется ею или не продаст кому-то. Однако баг-баунти можно организовать, например, для узкого круга специалистов или компаний.
Ещё одно важное отличие: баг-баунти — это, как правило, история про поиск уязвимостей в конкретном программном обеспечении, а пентест — более комплексная услуга. Поэтому, как правило, для пентеста нанимается конкретная компания.
Допустим, компания определилась с необходимостью провести именно пентест. Что ей следует знать об этой услуге? Существуют ли какие-то трудности при проведении пентестов с точки зрения исполнения требований регуляторов и законодательства?
С. П.: С интегратором, который предоставляет услугу, заключается договор о неразглашении. Самое важное, и мы всегда говорим об этом, — в техническом задании должен быть отражён полный объём тестирования. Важно чётко описать, какие сервисы, в какое время и каким образом будут тестировать. Выходить за пределы этого диапазона недопустимо.
За соблюдением этих требований должны следить и исполнители, и заказчики. Если договорились тестировать определённый IP-адрес, значит, исключительно им и нужно заниматься. Даже если в ходе исследования обнаруживается, что у компании есть ещё адреса и даже если у неё эксплуатируется ещё какой-нибудь ЦОД в другой стране и там тоже есть уязвимости, это тестировать на проникновение нельзя.
Во-первых, если хвататься за всё, то просто не успеешь сделать необходимое. Во-вторых, если взяться за то, о чём не просили, то это уже уголовно наказуемое деяние, а именно взлом, статья 272 УК РФ. Делать это категорически запрещено.
Можно привести много примеров, когда даже простое сканирование портов за пределами оговорённого диапазона расценивалось службой безопасности как инцидент. Они начинали расследование, виновные привлекались к ответственности.
Бывают такие нюансы, что в рамках пентеста делают нагрузочное тестирование, чтобы посмотреть, какой максимальный трафик может выдержать система. Если система полностью ваша, тестируйте сколько угодно. Но если вы размещаете свой сервис в центре обработки данных, то нужно договориться с этим центром о том, что вы будете проводить такое тестирование. Они у себя на оборудовании сделают пометку и уже не будут думать, что вы своими действиями потревожите других пользователей.
Более того, облачные провайдеры, например Amazon или Google, прямо пишут у себя на сайтах о том, что свою систему вы можете тестировать как вам угодно, только не мешайте соседям, не нагружайте оборудование сверх меры.
Какие методики и стандарты наиболее востребованны на рынке? Каких придерживается ваша компания и почему?
С. П.: Безусловно, стандарты существуют. Есть международные, разработанные для разных направлений — например, отдельный стандарт тестирования веб-приложений. Также есть и общий международный стандарт PTES. Он описывает стадии тестирования. Я бы сказал, что он нужен скорее для того, чтобы говорить с коллегами на одном языке.
Заказчики никогда не приходят с запросом на пентест по определённой методике. Как правило, они просто хотят протестировать свою систему безопасности. Мы в работе обычно используем PTES, так как этот стандарт содержит в себе протокол проведения пентестов, описывает стадию исследования, моделирования угроз, эксплуатации и так далее.
Кроме того, вместе с заказчиком мы выбираем, по какой методике будем проводить тестирование. Существуют методики «чёрного», «серого» и «белого» ящиков (Anti-Malware.ru писал об этом здесь. — Прим. ред.). «Чёрный ящик» — это когда заказчик ничего не говорит про свою инфраструктуру; «белый» — когда исполнителям дают доступ в исходный код и мы можем кроме пентеста сделать ещё и, например, аудит исходного кода. И, наконец, «серый ящик» — это что-то среднее, когда предоставляют определённую информацию по инфраструктуре. Таким образом, занимаясь пентестом, уже не приходится тратить время на дополнительные исследования.
В 90 % случаев используется «чёрный ящик», потому что главная модель нарушителя — это некий пользователь со стороны, который ничего о компании не знает и пытается её взломать.
В течение какого периода обычно проводится пентест? И как часто стоит его повторять?
С. П.: В среднем работа длится месяц, бывает и дольше, но тогда это уже полноценный Red Teaming. Редтиминг больше похож на киберучения. Мы заранее обговариваем правила игры, а дальше уже пытаемся попасть в систему всеми доступными средствами.
Такие запросы приходят достаточно редко. Чаще заказывают именно пентест какой-то отдельной системы. Например, сделали новый сайт — тестируем.
Редтиминг — это пока ещё экзотика.
Что касается частоты, то пентесты рекомендуется проводить после каждого заметного изменения в инфраструктуре. Как часто происходят эти изменения — зависит от политики компании. Но обычно, исходя из практики, полноценные пентесты делаются раз в полгода-год, а в остальное время после каждого изменения конфигурации проводятся базовые сканирования.
Сканирования стоят дешевле и выявляют гораздо более базовые проблемы — например, фиксируют факт того, что уровень защищённости остался на прежнем уровне.
Если вы всерьёз обеспокоены уровнем своей защищённости, то вам следует ввести у себя процедуры управления безопасностью. Внедрив что-то новое, вы проводите оценку того, что изменилось, самостоятельно тестируя уровень защищённости. Таким образом можно обойтись без привлечения сторонних организаций. Но это подходит только тем компаниям, у кого уже есть зрелые процессы управления ИБ.
Что сейчас проверяют чаще всего? Внутренние системы или веб-инфраструктуру?
С. П.: Большинство заказов — это тестирование сайтов, порталов для совместной работы, всего того, что доступно через веб. Заказчики сами пишут, что им нужен только веб, и со временем популярность его будет только расти.
Заказов на внутренние пентесты гораздо меньше. Это можно объяснить спецификой: мы преимущественно работаем с крупным бизнесом, у них достаточно развита внутренняя культура, проходит обучение по информационной безопасности для сотрудников, и с инсайдерами они борются сами. Их службы безопасности имеют все необходимые для этого технические средства защиты: средства борьбы с утечками и контроля пользователей. А вот то, что происходит снаружи, им непонятно, и поэтому зовут нас.
Результатом пентестов является проникновение в систему и достижение какой-то цели с последующим предоставлением отчёта. Могут ли такие отчёты являться базой для обучения собственных ИБ-специалистов?
С. П.: Бывает по-разному. Действительно, некоторые компании воспринимают пентест как возможность научиться чему-то, посмотреть со стороны независимым взглядом, всё ли они делают правильно.
Чаще же бывает так, что безопасники воспринимают пентест как некий экзамен, который нужно сдать, иначе их накажут.
Поэтому часто они стараются минимизировать всё, что попадает в отчёт. Таким образом, очень многое зависит от того, насколько зрелы процессы ИБ в компании и какие люди там работают.
Другое дело, что пентест не даёт больших возможностей в плане обучения. В ходе пентеста подсвечиваются определённые проблемы, а вот сделать выводы из того, что будет написано в отчёте, должны всё-таки специалисты заказчика.
Если они это сделают, значит, чему-то научатся. В противном случае ничего не изменится. Сейчас они закроют свои уязвимости, а через год появятся новые, и мы их снова найдём.
Сейчас во многих компаниях идёт смена аппаратных и программных продуктов. В связи с этим можно ли говорить о росте спроса на пентесты?
С. П.: Если вы внедряете что-то новое, это нужно тестировать. Это разумный подход, но я не замечаю особого всплеска интереса к этой услуге сейчас. Спрос остался на прежнем уровне. Наверное, дело в том, что переход на российские решения — не такой стремительный, не все завершили процесс миграции; значит, и тестирование пока мера преждевременная. Полагаю, особый спрос придётся как раз на 2023 год.
Какой совет вы дадите компаниям, которые только выбирают подрядчика для проведения пентеста? На что обратить внимание?
С. П.: На мой взгляд, главным критерием является репутация компании и её специалистов. Пентестеры — это люди, которые получают доступ ко всей вашей инфраструктуре. Таким образом, вы должны быть уверены, что в случае успешной атаки они не передадут данные третьим лицам. Разумеется, отношения с заказчиком регулируются тщательно составленным договором, в котором предусмотрены все нюансы, но репутация здесь также очень важна.
Поинтересуйтесь успешными кейсами компании и тем, ведёт ли она какие-то судебные тяжбы с заказчиками.
Большое спасибо за содержательное и интересное интервью! Желаем вам дальнейших успехов, а нашим читателям — всего самого безопасного!