Безопасность корпоративных сетей: как оценить ее защищенность?

Что такое оценка защищенности и из чего она состоит

Эффективный подход к обеспечению бесперебойной работы сервисов компании предполагает не только развитие и поддержку ИТ-инфраструктуры, но и периодическую оценку ее защищенности. На практике оценка защищенности выглядит следующим образом: специалисты изучают системы, выявляют их уязвимости и разрабатывают отчет, в котором описывают выявленные проблемы и приводят рекомендации по их устранению.

Есть несколько основных режимов проведения оценки защищенности, отличающихся глубиной проработки различных аспектов: анализ защищенности, тестирование на проникновение (пентесты), red team и purple team. Рассмотрим каждый из них отдельно.

Анализ защищенности

Это поиск уязвимостей конкретной системы. Чаще всего такой анализ нужен компаниям, у которых есть сайт, мобильное или десктопное приложение. При проведении анализа защищенности мы смотрим, есть ли в системе уязвимости, которые позволяют потенциальному нарушителю получить доступ к инфраструктуре, на которой она развернута.

Кроме того, мы проверяем бизнес-логику: смотрим, нет ли у злоумышленников возможности сделать что-то не так, как это предполагается. Например, купить товар в интернет-магазине за 0 ₽, вывести средства другого клиента или получить информацию о том, кто и что покупает.

Тестирование на проникновение, или пентесты

Здесь другой фокус анализа: мы работаем непосредственно по инфраструктуре и не обращаем внимания на бизнес-логику. В первую очередь нас интересует, может ли взломщик, используя уязвимости, захватить сервер, на котором запущено приложение, проникнуть в сеть компании и провести дальнейшие атаки на ее инфраструктуру.

Тестирование на проникновение может быть внешним и внутренним — все зависит от модели нарушителя, от которого мы хотим защититься. Внешний нарушитель — это человек, который никак не связан с компанией и не имеет легитимного доступа к ее ресурсам. Внутренний — это субъект, у которого есть законный доступ к каким-то компонентам инфраструктуры. Как правило, здесь идет речь о сотрудниках компании.

Комплексное тестирование на проникновение предполагает комбинированную модель нарушителя: сначала мы работаем снаружи, пробиваем периметр, попадаем внутрь и смотрим, что нам доступно и какие возможности есть у потенциального нарушителя.

Red team и purple team

При проведении red team специалисты, как и при пентесте, стремятся построить цепочку атак, которая позволит проникнуть в сеть компании и реализовать недопустимые события. Ключевое отличие состоит в том, что сотрудники отдела ИБ этой компании не знают о проведении таких работ, а сами работы проводятся в режиме секретности. Если пентесты — это про технический уровень защищенности, то red team — это больше про проверку готовности отдела ИБ противостоять кибератакам.

Purple team — следующий шаг в эволюции пентестов, похожий на red team: атакующие строят цепочки атак, проверяют возможность реализации недопустимых событий, стараются проводить проверки незаметно для защитников. Отличие состоит в одном важном аспекте: если red team предполагает противостояние атакующих и защитников, то purple team предполагает их сотрудничество.

Безопасники общаются с аудиторами и узнают у них, что делали пентестеры: какие атаки они проводили, когда, какие были исходящие адреса, какие были целевые системы. Все это делается для того, чтобы сотрудники отдела ИБ могли понять, какие атаки они умеют обнаруживать, а где у них есть слепые пятна. УЦСБ, например, когда оказывает услугу в режиме purple team, дает также и развернутые консультации на тему того, как обнаружить выполненные атаки.

Как понять, какой анализ нужен

Нужно отталкиваться от задачи. Если нужно выявить уязвимости и проблемы в бизнес-логике конкретной системы, то потребуется анализ защищенности.

Если у вашей компании большая инфраструктура и вы хотите понять, защищена ли она от атак, проведите тестирование на проникновение.

Если для вашей компании пентесты уже не в новинку и вам мало просто определить технический уровень защищенности, а нужно проверить, как отлажена работа службы ИБ, процессы реагирования и мониторинга, то ваш выбор — услуга в формате red team или purple team.

Почему стоит заказывать оценку защищенности на аутсорсе

Есть организации с большими инфраструктурами, в которых работают свои отделы и команды по ИБ, но даже такие компании привлекают подрядчиков.

Во-первых, у штатной команды может замыливаться взгляд: когда годами проверяешь одну и ту же инфраструктуру, перестаешь замечать какие-то вещи в ней — она становится настолько привычной, что можно пройти мимо даже очевидных проблем.

Во-вторых, тестирование безопасности — в каком-то смысле творческая профессия, и у каждой команды есть свой стиль работы. Может сложиться так, что штатные сотрудники упускают какие-то аспекты просто в силу их стиля работы и профиля компетенций, а сторонняя команда с другим стилем обнаруживает это сразу. И это не значит, что одна команда хорошая, а другая плохая — они просто разные.

Поэтому внешние аудиты просто необходимы. Подрядчик с именем и опытом в сфере ИБ способен найти уязвимости, про которые внутренняя команда просто не подумала или которые оставались вне поля ее видения. Кроме того, в некоторых отраслях компании законодательно обязаны привлекать сторонние организации и проходить регулярные проверки.

В Центре кибербезопасности УЦСБ готовы оказать комплексную поддержку и помочь компании оценить уровень защиты и пройти государственные проверки, предоставить команду с набором необходимых компетенций для глубокой и продвинутой экспертизы.

Короткая ссылка на материал: //cnews.ru/link/a21436