В 2017 г. в России был принят Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», исходя из которого отраслевому регулятору вменялось разработать комплекс мер, направленных на проведение аудита состояния информационной безопасности объектов КИИ и обеспечения её защищённости. В результате была разработана и принята нормативная база, включающая как одну из мер аудита тест на проникновение. 

Банк России включил данную меру аудита в подзаконные акты — Положения Банка России №683-П, №719-П. Другие регуляторы включили соответствующие положения в другие нормативные документы:

• Распоряжение Правительства РФ от 28-08-2019г.№ 1911-р;
• Приказ Минфина от 01-06-2023 г.№ 80н;
• Приказ Минцифры России от 28.02.2022 № 143;
• Приказ ФСТЭК России от 25.12.2017 № 239;
• Приказ Минцифры России от 11.05.2023 № 449;
• Приказ Минкомсвязи России от 30.01.2019 № 22…

и это не полный список.

 

ПОСТАНОВКА ПРОБЛЕМЫ

Тестирование на проникновение (от англ. pentest, сокр. от penetration test) — метод оценки степени защищённости компьютерных систем или сетей средствами моделирования сценария атак злоумышленника. Анализ системы безопасности ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчёт, содержащий в себе найденные уязвимости, а также рекомендации по их устранению. Цель испытаний на проникновение — оценить возможность его осуществления в различных сценариях проведения атак на информационные ресурсы. 

Проанализировав нормативную базу Законодательства РФ, мы не смогли найти полноценной методики проведения теста на проникновения. Были несколько попыток создать что-то единое, но они остались только в проектах. 

В то же время в международной практике проведение тестов на проникновение регламентируется стандартами и методиками, которые регламентируют этапы тестирования, порядок испытаний тестируемых объектов, порядок взаимодействия аудитора с заказчиком и т. д. 

 

К широко распространённым зарубежным стандартам и методикам относятся:

• методика OSSTMM — The Open Source Security Testing Methodology Manual;
• методика ISSAF — Information System Security Assessment Framework;
• методика OWASP — Open Web Application Security Project;
• стандарт PTES — Penetration Testing Execution Standard;
• стандарт NIST SP 800-115 — Technical Guide to Information Security Testing and Assessment;
• методика BSI — Study a Penetration Testing Model;
• методика PETA — Methodology of Information Systems Security Penetration Testing;
• методика PTF — Penetration Testing Framework.

Среди отечественных практик можно упомянуть ГОСТ Р 58143-2018 «Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения».

Рассмотрим более подробно некоторые из представленных выше методик.

 

МЕТОДИКА OSSTMM

OSSTMM — это универсальный, базовый стандарт при тестировании на проникновение, благодаря которому можно выстроить чёткий план, шкалу оценивания уровня безопасности. Благодаря данному способу этот метод имеет возможность индивидуально оценить уровень безопасности, учитывая при этом и отраслевые, и технологические характеристики компании. Руководство по методологии тестирования безопасности — с открытым исходным кодом. 

Методика OSSTMM является в высокой степени формализованным и хорошо структурированным документом, регламентирующим практически все аспекты тестирования на проникновение, ориентирована на тестирование преимущественно компьютерных сетей. Методика обновляется с завидной периодичностью. 

Методика OSSTMM содержит следующие разделы:

• информационная безопасность;
• тестирование процесса безопасности;
• тестирование безопасности интернет-технологий;
• тестирование безопасности каналов связи;
• тестирование безопасности беспроводных технологий;
• тестирование физической безопасности.

Как таковой классификации уязвимостей в этой методике нет. Понятие «уязвимость» в методике вводится как ограничение безопасности — это дефект или ошибка, которая запрещает доступ авторизованным пользователям или процессам к информационным ресурсам или позволяет несанкционированный доступ (НСД) неавторизованных пользователей или процессов к ресурсам.

Итог: данную методику можно использовать как на этапе предварительной оценки защищённости объектов, так и на этапе разработки объектов. Из недостатков стоит отметить малое количество информации по практическим действиям и инструментарию тестирования, а также отсутствие полного описания процесса проведения тестирования отдельных модулей информационной системы. 

 

МЕТОДИКА ISSAF

Метод ISSAF разработан OISSG (Open Information Systems Security Group) для внутренних контрольных проверок.

Документ охватывает огромное количество вопросов, связанных с информационной безопасностью. Присутствуют главы, описывающие оценку безопасности межсетевых экранов, маршрутизаторов, антивирусных систем и многого другого.

Данный метод включает три этапа:

а) планирование и подготовка — получение начальной информации, планирование и подготовка к тестам, заключение договора, определение сроков, объектов и методов тестирования;

б) оценка — выполнение тестирования на проникновение;

в) отчётность — разработка отчёта о тестировании.

Итог: ISSAF — один из самых сложных, но в тоже время популярных способов.

 

МЕТОДИКА OWASP

OWASP — международное открытое сообщество, нацеленное на улучшение безопасности программного обеспечения. Каждый имеет право участвовать в OWASP, и все их материалы свободно распространяемы. OWASP Testing Guide представляет собой более широкую методологию по сравнению с другими, так как даёт указания не только по тестам на проникновение, но и по анализу веб-приложений в целом (к примеру — исходного кода), поскольку эта методика фокусирует своё внимание именно на обнаружениях уязвимостей веб-приложений.

Эксперты организации каждые 3–4 года обновляют OWASP Top Ten — список критических уязвимостей веб-приложений. Он помогает разработчикам и специалистам по информационной безопасности создавать и поддерживать безопасные сайты и приложения. 

В последней редакции OWASP Top Ten названы следующие уязвимости на 2021 г.:

1. А01:2021 — нарушение контроля доступа;
2. A02:2021 — криптографические сбои;
3. А03:2021 — инъекции;
4. A04:2021 — небезопасный дизайн;
5. A05:2021 — неправильная конфигурация безопасности;
6. A06:2021 — уязвимые и устаревшие компоненты;
7. A07:2021 — ошибки идентификации и аутентификации;
8. A08:2021 — нарушения целостности программного обеспечения и данных;
9. A09:2021 — ошибки ведения журнала и мониторинга безопасности;
10. A10:2021 — подделка запросов на стороне сервера.

 

СТАНДАРТ PTES

Стандарт, разработанный для объединения как бизнес-требований, так и возможностей служб информационной безопасности и масштабирования тестов на проникновение. На первом подготовительном этапе подробно рассматриваются устанавливаемые каналы коммуникаций, правила взаимодействия и контроля, конкретные способы реагирования и мониторинга инцидентов. Далее выделены следующие этапы:

• сбор информации;
• моделирование угроз;
• методы анализа уязвимостей;
• эксплуатация — обеспечение обхода контрмер и обнаружение наилучшего пути атаки;
• постэксплуатация — анализ инфраструктуры, последующее проникновение в инфраструктуру, зачистка и живучесть.

 

СТАНДАРТ NIST SP 800-115

Создан и поддерживается подразделением NIST — CSRC, центром по компьютерной безопасности, объединяющим специалистов федеральных служб, университетов, крупнейших ИТ-компаний США.

Методика NIST была изначально предназначена для государственных организаций, но в ней также рассматривается возможность использования и негосударственными организациями. Она не предназначена для проведения комплексного тестирования уровня информационной безопасности, поскольку содержит лишь ключевые элементы технического тестирования и оценки безопасности. В методике NIST основной упор делается на теоретическое обоснование того, как эти техники могут быть применены. В ней не содержится информации о том, какие техники должны быть применены и при каких обстоятельствах. Таким образом, пентестерам предоставляется гибкость в определении техник, которые более всего подходят в их ситуации.

Особенности методики NIST:

• подготовлена для оценки безопасности в государственных организациях;
• детально описывает ключевые элементы технического тестирования;
• предоставляет гибкость при выборе подходов к тестированию (внешнее или внутреннее; скрытное или открытое);
• описывает уровень подготовки, необходимый для проведения тестирования;
• содержит расширенное описание методов социальной инженерии.

Недостатки NIST:

• не содержит конкретных примеров тестирования;
• не описывает механизмы защиты от уязвимостей.

 

МЕТОДИКА BSI

Разработана немецким подразделением Federal Office for Information Security. В методике описывается проведение корректных испытаний системы на устойчивость. Подробно описываются не только сама методология тестов, но и необходимые требования, правовые аспекты применения методологии и процедуры, которые необходимо выполнить для успешного проведения тестов. В приложениях содержится описание ПО, которое можно использовать для тестирования объектов, описанных в методике.

Согласно методике BSI, выделяется три основных типа воздействий:

1) информационно-техническое воздействие через сеть;

2) тестовые информационно-психологические воздействия и социальная инженерия;

3) обход физических мер безопасности.

Данную методику рекомендуется использовать для тестирования конечного продукта. Методика BSI является достаточно подробной, а её разработчики старались предусмотреть все аспекты тестирования на проникновение: технические, организационные, правовые.

 

МЕТОДИКА PETA

Методика PETA — пример проектного подхода к организации тестирования информационных систем. Данная методика предлагает следующую последовательность этапов тестирования на проникновение:

1) планирование;

2) тестирование;

3) формирование отчёта.

Вышеуказанные этапы в данной методике формализованы в виде процессной модели, которая, однако, расписана не очень подробно. Методика является достаточно обзорной и определяет только самые общие подходы к проведению тестирования на проникновение, оставляя выбор конкретных целей тестирования, используемых в тестах на информационно-техническое воздействие, и прочие параметры тестирования на усмотрение заказчика и аудитора.

 

МЕТОДИКА PTF

Методика PTF — детальное техническое руководство по проведению тестирования на проникновение в технической части. Данное руководство не содержит общетеоретической информации, подобно методикам OSSTMM или ISSAF, однако, предоставляет практически исчерпывающий перечень уязвимостей объекта, подлежащих проверке, в некоторых случаях с указанием рекомендуемого порядка проведения тестирования и инструментария для него.

Необходимо отметить, что методика PTF фактически является частным проектом специалиста по ИБ K. Orrey. Вместе с тем данная методика получила большое число положительных отзывов специалистов по тестированию на проникновение, которые использовали данную методику как первооснову для разработки своего варианта тестирования.

 

ГОСТ Р 58143-2018

На основе ГОСТ Р 58143-2018 можно проводить разработку тестов на проникновения на основе идентификационных шаблонов атак, а также с использованием метода гипотез (предположений) о недостатках тестируемой системы. Используя результаты определения шаблонов атак и идентификации соответствующих уязвимостей и недостатков, эксперт разрабатывает план тестирования проникновения, определяя соответствующий шаблон атаки, порядок выполнения атаки, условия проведения атаки, порядок тестирования и ожидаемые результаты.

Данный стандарт содержит детализацию рекомендаций по планированию, выполнению и составлению отчётности тестирования проникновения объекта оценки.

 

ИТОГО

Многие организации в России проводят данный тест, но по утверждённым в своих локальных актах программам, которые согласуются с заказчиком.

В большинстве случаев проведение тестов на проникновение внешними подрядчиками (исполнителями работ) охватывает и внутренний, и внешний аудит.

Анализ защищённости внешнего периметра включает в себя:

• полную проверку доступных ресурсов;
• поиск уязвимостей операционной системы и сетевой инфраструктуры;
• сбор общедоступной информации о внешних ресурсах;
• сбор данных об инфраструктуре;
• поиск уязвимостей с использованием сканеров защищённости и специализированного ПО;
• тестирование выявленных уязвимостей.

При анализе защищённости внутренней сети проводится:

• сканирование сетевых портов объектов тестирования;
• анализ сетевого взаимодействия;
• сбор данных о сетевых сервисах заказчика:
• определение типов и версий сетевых сервисов и приложений;
• выявление уязвимостей с использованием универсальных сканеров защищённости;
• ручная проверка уязвимостей в обнаруженных сервисах заказчика;
• моделирование атак на уровне сетевых сервисов и приложений;
• использование обнаруженных уязвимостей, чтобы оценить возможности получения доступа к защищаемой информации и объектам тестирования.

В настоящее время для отечественных инструментов, позволяющих проводить данный тип анализа защищённости, методические документы и рекомендации отсутствуют.

Большинство отчётов инструментов ИБ по анализу защищённости разбиваются в практической части их применения — не доказано, что уязвимость действительно может быть проэксплуатирована.

Часть работ приходится проводить вручную в том же Metasploit или Empire ещё и потому, что после ухода с рынка ПО многих зарубежных вендоров, таких как Rapid 7, мы остались без инструментов полного цикла. Именно полного цикла для проведения тестов на проникновение.

Ещё хорошее новшество, которое мы могли бы перенять от зарубежных инструментов, — это предоставление в динамике общей сводной информации по отчётам от инструментов не только по CVE (база данных общеизвестных уязвимостей информационной безопасности), но и детально по СWE (Перечень общих слабостей — это система категорий слабых мест и уязвимостей аппаратного и программного обеспечения). Сейчас многие отечественные инструменты ИБ содержат в себе выборку, в том числе из базы уязвимостей bdu.fstek.ru (ФСТЭК России).

Для примера, если взять систему AOSC Defect Dojo (opensource продукт),то она содержит в себе возможность сбора и анализа соответствия информационной системы комплаенсу того же OWASP 4.1. Конечно, многие скажут: а зачем нам зарубежный стандарт, если у нас и так признано, что оценка соответствия по ОУД4 как часть работ для многих аккредитованных компаний проводится регулярно. А по факту — не отражает действительных угроз из-за статичности показателей самого процесса оценки. Вот если бы существовали требования и методика, которая отражает показатели на том же bdu.fstek.ru (ФСТЭК России),и показатели менялись под реалии новых угроз в соответствии с трендом Top-10 РФ, а не Top-10 OWASP, то все специалисты вздохнули бы свободно.

Сейчас достаточно много компаний проводят тесты на проникновение в отраслях промышленности, и каждый из отчётов, включённых в общий аудиторский отчёт, по идее должен быть стандартизирован и структурирован. А этого не происходит по причине отсутствия единой методики проведения тестов на проникновение.