Риски, оцениваемые в ходе пентеста, обычно сосредоточены на атаках, совершаемых извне информационной системы. Действительно, классический подход заключается в том, что сначала тестируются риски внешних атак (пентест «черного ящика»), а затем риски атак из клиентского или партнерского доступа (пентест «серого ящика»).
Риски внутренних атак, особенно с доступом в качестве сотрудника компании, часто считаются менее важными. Помимо того, что внутренние атаки соответствуют меньшему объему потенциальных злоумышленников, можно предположить, что внутренняя угроза недооценивается отчасти из-за доверия к сотрудникам.
К сожалению, злоумышленные действия, совершаемые сотрудниками компании, становятся все более частыми и часто имеют более серьезные последствия, учитывая привилегированное положение, которым они пользуются, и информацию, к которой они имеют доступ. Согласно отчету Insider Threat Report 2020, почти 70% опрошенных организаций заявили, что чувствуют себя уязвимыми перед внутренними атаками, с которыми они также сталкиваются все чаще.
Поэтому оценка и предотвращение внутренней угрозы являются важнейшими задачами для любой организации, заботящейся о безопасности. И пентестинг является одним из наиболее эффективных инструментов для конкретного определения последствий внутренней атаки. В этой статье мы постараемся объяснить природу внутренних угроз и представить, как этот вид риска может быть оценен в ходе пентестирования.
Что такое внутренняя угроза?
В кибербезопасности под инсайдерской угрозой понимается ИТ-риск, исходящий от внутренних пользователей организации или лиц, тесно связанных с ней. Этими пользователями могут быть нынешние или бывшие сотрудники, клиенты, поставщики услуг, субподрядчики, партнеры и т. д. Их объединяет то, что они имеют прямой или косвенный доступ к ресурсам организации, который они могут намеренно или ненамеренно использовать для нанесения ущерба ИТ и сетевой инфраструктуре или внутренним приложениям.
На практике клиенты, поставщики услуг, субподрядчики и партнеры обычно рассматриваются как нечто среднее между внешними злоумышленниками и внутренними пользователями информационной системы компании. Обычная практика — не пренебрегать рисками со стороны клиентов и партнеров, но более вяло относиться к внутренним рискам, особенно в малых и средних компаниях.
Более того, вопреки распространенному мнению, не все внутренние угрозы являются результатом злонамеренных мотивов или преднамеренных действий. Во многих случаях инциденты безопасности происходят в результате человеческой халатности, ошибок или непринятия адекватных мер безопасности. Нажатие на фишинговое письмо, не обновленные рабочие станции, слабые пароли, потеря рабочего оборудования и т. д. — все это потенциальные векторы риска, которые могут поставить под угрозу ресурсы организации.
Вредоносные внутренние угрозы, с другой стороны, обычно инициируются двумя типичными профилями пользователей:
- С одной стороны, есть те, кого привлекает жажда наживы, кто может использовать свой доступ для кражи конфиденциальных данных, стратегических документов или интеллектуальной собственности (например, исходного кода приложения), чтобы продать их на черном рынке или использовать в личных целях.
- С другой стороны, существует угроза со стороны внутренних злоумышленников, мотивированных злобой к своему работодателю или желанием отомстить, которые используют свой привилегированный доступ к ресурсам компании, чтобы нанести ей вред.
Ни одна компания не застрахована от потенциальных внутренних угроз, как преднамеренных, так и нет. Однако риск выше в крупных компаниях, компаниях с высокой текучестью кадров и, естественно, в тех, которые не информируют своих сотрудников о вопросах кибербезопасности — или, по крайней мере, недостаточно эффективно делают это.
Помимо выявления внутренних рисков и создания адекватных механизмов контроля с помощью пентеста можно смоделировать внутреннюю атаку, чтобы измерить реальные последствия и в то же время конкретно проверить эффективность принятых мер защиты.
Типы внутренних атак, проводимых в ходе пентеста
Предоставляя пентестерам такой же доступ, как и сотрудникам компании, вы даете им возможность имитировать злонамеренного внутреннего злоумышленника, чтобы попытаться получить доступ к ресурсам, которые не должны быть им доступны.
Пентест — способ рассказать вам о том, как ваша безопасность могла бы быть уничтожена, но теперь не будет.