Виктор Ивановский:
Абсолютно защищенной системы не существует
По мере роста сложности ИТ-инфраструктуры бизнес испытывает повышенные риски с точки зрения сетевой безопасности. Наличие уязвимостей, хакерские атаки, неправомерные действия инсайдеров – все это может негативно отразиться на бизнесе организации. Именно поэтому год от года растет количество компаний, стремящихся проверить, насколько защищены их ИТ-системы. Как обнаружить и ликвидировать уязвимости? Какие методики аудита сетевой безопасности могут быть применены и в каких случаях они принесут максимальный эффект? На эти вопросы в интервью CNews ответили специалисты департамента информационной безопасности компании Softline: заместитель руководителя направления инфраструктурных решений Виктор Ивановский и руководитель направления сетевых решений Евгений Дружинин.
CNews: Зачем нужен аудит сетевой безопасности? Какие задачи он решает?
Виктор Ивановский: Давайте начнем с теории информационной безопасности. Все, что происходит с информацией внутри компании, можно свести к трем понятиям: обработка, хранение и передача. Все риски, возникающие во время жизненного цикла данных, связаны с одним из этих процессов. Аудит сетевой безопасности позволяет понять, какие проблемы могут появиться на этапе передачи информации из одного узла в другой (на входе данных в информационный контур организации, при их передаче между узлами обработки, узлами хранения и т.д.), и оценить текущее состояние систем сетевой защиты.
CNews: Каким компаниям особенно показан аудит сетевой безопасности?
Евгений Дружинин: Думаю, масштаб особой роли не играет. По мере развития ИТ и у небольших предприятий появляются проблемы в сфере защиты периметра. Все чаще они сталкиваются с рисками ИБ. Нам известны случаи целенаправленных атак на небольшие компании с внештатным системным администратором. Их целью было ударить по репутации, это никак не было связано со ставшим уже банальным проведением атак на клиента ДБО.
Аудит сетевой безопасности в крупных компаниях – это, как правило, отдельная, очень значимая процедура. Тесты и аудиты проводятся регулярно, что обусловлено большими рисками в случае нарушения сетевой безопасности.
Виктор Ивановский: Приведу пример того, насколько сетевая безопасность может повлиять на бизнес финансовой организации, а именно – крупного банка. Я не готов утверждать, что сценарий, который я сейчас приведу, действительно был реализован, но знаю наверняка, что он существует. Итак, для начала готовится сетевая атака на приложение «Клиент-банк». В результате приложение становится недоступным для клиентов. Дальше в СМИ, социальные сети запускается «утка» о том, что у банка проблемы. Среднестатистический клиент, конечно, начинает беспокоиться, что же происходит с банком, которому он доверил сбережения. Вдруг ему становится понятно, что система «Клиент-банк» недоступна. И тогда он идет в банкомат и снимает деньги. А если атака распространяется еще и на банкоматы, он идет (уже даже бежит!) в центральный офис. Каков исход? Массовый психоз и отток средств из банка. Бизнес испытывает кризис, а иногда и вообще останавливается. Вот к таким последствиям может привести сугубо техническая атака. Поэтому чем крупнее организация, тем внимательней она относится к проблемам сетевой безопасности.
Мы видим, что крупные организации сегодня действительно оценивают технические риски, которые грозят перерасти в бизнес-риски, критичные для жизнедеятельности. Такие компании с должным вниманием относятся, во-первых, к необходимости специального обследования – так называемых тестов на проникновение (penetration testing, pentest), а во-вторых, к выбору самой методологии тестирования. И это объяснимо. Когда, к примеру, возникает необходимость проверить техническое состояние автомобиля, у каждого из нас есть несколько способов это осуществить. Можно загнать машину в какой-нибудь гараж, в котором слабо угадываются признаки СТО, где по колесу гаечным ключом постучит, с позволения сказать, специалист и озвучит свой вердикт на основании своих внутренних ощущений. А можно обратиться в крупный автосервис, где проведут компьютерную диагностику – и только после этого предоставят детальный отчет о «здоровье» вашего авто. Какой метод исследования предпочесть, решать, конечно, самому клиенту. Но сегодня заказчики все чаще выбирают именно специализированный сервис.
CNews: Что такое penetration testing?
Евгений Дружинин: Тестирование на проникновение (penetration testing) — это один из этапов аудита сетевой безопасности. Впрочем, pentest может осуществляться и отдельно, например, с целью проверки на соответствие различным стандартам; самый известный в России – это PCI DSS.
Евгений Дружинин: Аудит сетевой безопасности в крупных компаниях – это, как правило, отдельная, очень значимая процедура
Понять важность и специфику penetration testing, пожалуй, позволит сравнение процедур полномасштабного аудита сетевой безопасности и технического аудита, при котором проверяется, что и как работает в системе и подтверждается (или не подтверждается) соответствие настроек утвержденным политикам. Казалось бы, цели аудитов очень похожи. Но у технического аудита есть существенное ограничение: он позволяет удостовериться, что настройки верны в каждой отдельной системе и не учитывает, что в процессе эксплуатации эти системы взаимодействуют друг с другом. Тут и могут проявиться проблемы на архитектурном уровне. Именно тест на проникновение (то есть непосредственная реализация сетевой атаки) позволяет увидеть корректность всех настроек, их реальную совместную работу.
Виктор Ивановский: Еще один важный момент. В процессе создания системы защиты специалисты ориентируются на модель угроз, условно считая, что нарушитель предпримет определенные действия, чтобы реализовать угрозу. Проблема может возникнуть на этапе определения этой связки между нарушителем и теми угрозами, которые он несет. Разработчик модели угроз может просто-напросто не видеть, что существует второй, третий, пятый способ совершения атаки. Penetration testing, реализуемый, как правило, сторонней командой, позволяет, во-первых, протестировать настройки систем безопасности, а во-вторых, определить, правильно ли была составлена эта самая модель угроз.
CNews: Аудитором обязательно должен выступать сторонний эксперт? Нет ли у компании возможности справиться силами собственной службы ИТ/ИБ?
Евгений Дружинин: Конечно, организация может и самостоятельно проводить penetration testing, но логичнее будет пригласить для этих целей команду со стороны. У бизнеса не всегда есть финансовая возможность держать в штате специалистов, обладающих необходимой экспертизой. Причем речь идет о наличии экспертов-профессионалов в разных областях, в том числе, в области сетевой безопасности, web-приложений и баз данных. Такую группу очень редко можно собрать из собственных сотрудников — разве что в крупнейших западных компаниях.
А в случае теста на проникновение компетенция команды крайне важна: если она слабая, то pentest может пройти поверхностно, он не обнаружит серьезных проблем, даже если они есть.
CNews: Какова методология penetration testing?
Евгений Дружинин: Сразу стоит оговориться, что в первую очередь мы ориентируемся на специфику бизнеса. Те процедуры, которые необходимо проводить в компании одной отрасли, не подходят для других сфер бизнеса.
Обязательно должна быть выбрана и тщательно проработана модель угроз нарушителя. Очень важно понимать цель тестирования на проникновение: какие активы нужно проверить, от каких нарушителей – внешних или внутренних — защититься в наибольшей степени? Пожалуй, это самый важный этап.
Когда мы определили основные болевые точки, начинается разработка предварительных сценариев. Далее проходит стандартное обследование, выполняются инструментальные процедуры. Возвращаясь к вопросу о компетенции команды, хочу отметить: слабая, как правило, дальше инструментальных проверок не пойдет. Но очень важны так называемые интеллектуальные тесты, когда эксперты вручную начинают тестировать приложения, конфигурации систем, искать уязвимости. Это серьезная аналитическая и экспертная работа. Провести, отработать единый сценарий — это креативная деятельность, требующая от исполнителей и глубоких знаний, и большого опыта. Тестирование на проникновение должно достичь конкретной цели: например, отработать сценарий, при котором задачей нарушителя будет проникновение с внешнего периметра во внутреннюю сеть, получить доступ к почтовым серверам и т.д. Результаты и качество тестирования зависят от уровня эксперта или команды.
CNews: По каким критериям должен осуществляться выбор исполнителя pentest'а?
Евгений Дружинин: На мой взгляд, важна продолжительная стабильная работа компании-партнера в области penetration testing и наличие собственных методик. Второй важный критерий уже отмечался: это компетенция команды. Хотелось бы обратить внимание еще на один показательный фактор — участие экспертов в специализированных соревнованиях в формате CTF (Capture the Flag, «захват флага»). Эта такая игра, где специалистам ставят задачи именно в области компьютерной безопасности, в том числе на взлом, безопасное конфигурирование систем, анализ результатов взлома. Команды-участники таких соревнований разгадывают «хакерские головоломки», получая баллы за удачное решение. Чем больше баллов, тем выше статус команды. Практически любая крупная конференция по информационной безопасности – и в России, и на Западе – обязательно содержит блок соревнований в формате CTF.
CNews: В чем отличие penetration testing от анализа защищенности?
Виктор Ивановский: Действительно, тест на проникновение часто путают с общим анализом защищенности приложений. Pentest имеет очень конкретную цель – компрометация определенных ресурсов, проникновение в сеть извне либо изнутри. Мы всегда знаем, чего хотим достигнуть в рамках тестирования на проникновение.
А анализ защищенности можно охарактеризовать как сканирование, просмотр архитектуры с целью выявления максимального количества рисков. Но он не «видит» так глубоко и точечно, как pentest, который исследует действительно актуальные уязвимости.
CNews: Сколько вообще тестов на проникновение было проведено вашей компанией?
Виктор Ивановский: Мы постоянно задействованы либо в проектах полноценного тестирования, либо в проектах, выполняемых с целью познакомить заказчика с данной услугой.
Наша компания практикует следующий подход: сначала мы демонстрируем клиенту, как будет производиться поиск уязвимостей. Для этого предлагаем дать нашей команде 40 часов поработать на его площадке. Если в течение заявленного времени мы не находим уязвимости в какой-либо из целевых систем безопасности, заказчик вправе не оплачивать нашу работу. Однако еще не было ни одного случая, когда эксперты не смогли бы обнаружить проблему: абсолютно защищенной системы не существует.
Кстати, именно поэтому не стоит думать, что единожды проведенное тестирование на проникновение обозначит все слабые места и, «залатав» обнаруженные «дыры», компания навсегда себя защитит. Стоит внести изменения в систему — и могут появиться новые уязвимости. Penetration testing — это процедура, которая должна проводиться регулярно.
CNews: И вот pentest завершен. Что дальше? Какие шаги должна предпринять компания?
Виктор Ивановский: После проведения тестирования мы создаем карту уязвимостей сетевой безопасности компании-заказчика. Это некий отчет с рекомендациями, где описаны способы устранения проблем.
Наличие уязвимостей говорит о том, что в системе сетевой безопасности есть «дыра», и она «не закрыта» внутренним кодом приложений. Возможно, это можно исправить с помощью дополнительных настроек. Но не всегда. В случае, когда обнаруживается набор «дыр», связанный с конкретными приложениями, не закрытыми стандартными средствами, мы предпочитаем использовать семейство решений под названием WAF (Web Application Firewall) — они фактически играют роль заплаток, точечно закрывая конкретные угрозы.
Хочу акцентировать внимание еще на одном важном этапе проекта – подтверждении, что выявленные уязвимости устранены. Заказчик не всегда готов привлекать стороннюю команду для «латания дыр». И когда такая компания сообщает, что проблемы собственными силами были ликвидированы, наши эксперты возвращаются, чтобы проверить, насколько качественно они были устранены. Только после этого можно считать, что pentest – как отдельный, разовый проект – закрыт. Делать ли данную процедуру периодической или нет – решает сам заказчик. Безусловно, мы стараемся и дальше взаимодействовать с такой компанией и строить в ней полноценные ИБ-процессы.
CNews: Каким отраслям, по опыту Softline, наиболее интересны проекты по выявлению и латанию «дыр»?
Виктор Ивановский: В первую очередь это, конечно, банковский сектор. Информационная безопасность – его больная тема. Pentest проводится в рамках приложения «Банк-клиент».
Мы наблюдаем интерес к услуге по тестированию на проникновение также со стороны интернет-магазинов, и это объяснимо: их бизнес основан на взаимодействии в сети, потому важно обеспечить высокий уровень защищенности. Весьма перспективными заказчиками мы считаем и предприятия промышленного сектора.
CNews: Какие изменения в рамках данного направления вы наблюдаете за последний год-два?
Виктор Ивановский: Принципиальных изменений, пожалуй, не произошло. Да, со временем меняются устройства, с помощью которых можно «латать дыры» в сетевой безопасности, закрывать сетевую инфраструктуру от внешнего или внутреннего злоумышленника, меняются алгоритмы, с помощью которых защищаются каналы, возрастает производительность систем.
В последнее время бизнес пришел к пониманию того, что коробочное решение (каким бы хорошим оно ни было) не сможет гарантировать полную безопасность инфраструктуры. У компаний возникает необходимость в проведении индивидуального тестирования, персонифицированной настройки средств сетевой безопасности. Востребован так называемый тюнинг сетевой безопасности.
CNews: WAF-решение (Web Application Firewall) – это некий проактивный фильтр, который устанавливается в процессе этого самого тюнинга?
Виктор Ивановский: Да, все верно. WAF «слушает» трафик, анализирует, какой контент и к какому приложению направляется. Физически WAF-устройство представляет собой сервер, который устанавливается в стойку. Специфика этого решения – в более глубоком проникновении в трафик по сравнению с распространенными устройствами сетевой безопасности. В зависимости от того, какие сигнатуры у него прописаны, WAF либо просто собирает информацию о происходящем, либо ловит определенные атаки, чтобы предотвращать их, либо пропускает этот трафик, выдавая уведомление, что происходит что-то неправильное. Возможны различные варианты взаимодействия с событиями.
Важно упомянуть, что WAF может быть не только аппаратным решением, но и модулем, встроенным в обычное web-приложение. Он дополнительно требует настройки, дает нагрузку на систему, а методы атаки на него менее предсказуемы. Уверенно сказать, какому формату отдать предпочтение, может только эксперт – с учетом специфики как системы ИБ, так и бизнеса заказчика.
CNews: Есть ли стандартные рекомендации по настройке, то есть, как вы говорите, тюнингу сетевой безопасности?
Евгений Дружинин: Боюсь, их нет. Нужно знать, какое решение будет использовано, оценить его необходимую производительность, понять, где именно оно будет установлено, какие сервисы должно контролировать и т.д.
Каждое устройство имеет некие заданные параметры. По опыту, администраторы, самостоятельно настраивающие «железо», следуют им только первое время. А потом, замечая, что настройки мешают работе приложений, меняют их. Получается, что решение не использует до 70% своих возможностей, превращаясь из мощного ИБ-инструмента в некую систему мониторинга, способную информировать о совершенных атаках, но не предотвращать их.
Чтобы решение полноценно работало в режиме защиты, оно должно настраиваться с учетом специфики приложений, его архитектуры и т.д. И здесь мы опять переходим к вопросу компетенции команды, которая это будет реализовывать.
CNews: Какой прогноз развитию направлений — по аудиту сетевой безопасности вообще и pentest, WAF в частности – можете дать?
Виктор Ивановский: Полагаю, мы можем дать некую оценку текущего состояния рынка, исходя из задач и перспектив наших заказчиков. В Softline постоянно поступают запросы от представителей финсектора, активно интересующегося темой сетевой защиты. Мы взаимодействуем с компаниями, которые сейчас строят практически онлайн-процессинговые системы и хотят уже на этапе проектирования заложить тот уровень сетевой безопасности, который, по их оценке, будет необходим в будущем. И это определенно положительная тенденция. Раньше такого не было.
Если говорить о всплеске интереса к решениям WAF, то могу отметить промышленный сектор. Речь идет о защите сетей АСУ ТП — тех самых, которые долгое время являлись и для бизнеса, и для технических специалистов неким «черным ящиком. Я начинал свою карьеру на заводе, где часть процессов была автоматизирована. Я знал, что есть роботы, подключенные по IP, и компьютеры, которые управляют какими-то специализированными сетями. Что находилось за ними – было непонятно и неизвестно. Я думаю, это узнаваемая ситуация. Сейчас мы наблюдаем невероятный спрос промышленных предприятий на тестирование уровня защищенности производственных сетей и обеспечение их реальной безопасности. Эта тенденция привела к тому, что в департаменте ИБ Softline сейчас выделяется отдельный блок экспертов по конкретному направлению.
Евгений Дружинин: Надо учитывать, что сейчас web становится основой современных приложений. И даже такие специализированные системы, как контроллеры управления технологическими процессами, имеют web-интерфейс конфигурирования. Та же тенденция сейчас ощутима и в области CRM и ERP. Многие подобные системы являются web-приложениями. Естественно, это приводит к необходимости применения средств сетевой защиты и специализированных инструментов, таких как WAF. Если раньше банки смотрели в сторону таких средств, руководствуясь требованиями регуляторов, то сегодня уже очевидно, что финансовый сектор готов двигаться дальше в этом направлении. Его уже подгоняет не закон, а желание обезопасить свои критичные бизнес-системы. Пожалуй, к этому вскоре придут и другие отрасли.