Когда мы думаем об «ИТ-безопасности» и кибер-атаках, у нас часто возникает образ хакера, который действует из неизвестного места. Но риск не только внешний, это далеко не так. Иногда люди могут ошибочно чувствовать себя в безопасности внутри компании. Многие недостатки безопасности могут быть скрыты в управлении пользователями, в используемых приложениях, в самой инфраструктуре внутренней сети… Враг находится внутри компании. Недобросовестный сотрудник или внешний поставщик услуг может воспользоваться этими недостатками и получить доступ к конфиденциальным данным. Пентестирование внутренней сети — идеальный инструмент для обнаружения этих уязвимостей и их устранения.
Что такое внутренний тест на проникновение в сеть?
Вопреки распространенному мнению, 80% вторжений и вредоносных действий исходят изнутри компании. Поэтому аудитор попытается провести компьютерную атаку изнутри, в тех же условиях и с теми же правами, как если бы он был сотрудником компании или поставщиком услуг, имеющим к ней доступ.
Недостатки безопасности внутри компании можно найти повсюду. Это может быть неправильно выбранное распределение иерархии, которое позволяет пользователю иметь больше контроля, чем нужно, над своей рабочей станцией или получить доступ к информации, которую он не должен иметь. Уязвимость может исходить от приложения, используемого внутри компании, размещенного локально или в частном облаке. Уязвимость может быть программной или аппаратной. Например, прокси-серверы или маршрутизаторы, прошивка которых не была обновлена, могут содержать бреши в безопасности.
Зачем проводить внутренний пентест?
Поскольку угроза внутреннего вторжения реальна, важно проводить внутренний тест на проникновение. Это необходимо для обеспечения максимальной безопасности, тем более что вторжение не обязательно будет делом рук злоумышленника. Ошибка пользователя, имеющего слишком много прав, также может привести к катастрофе.
Внутренние вторжения, когда они являются добровольными, могут преследовать несколько целей. Промышленный шпионаж, естественно, является основным риском. Если конфиденциальные данные будут переданы конкуренту или даже просто преданы гласности, это может привести к серьезным последствиям. Также может быть злой умысел со стороны сотрудника, поставщика услуг, имеющего доступ к системе, или даже посетителя, которого время от времени приглашают в компанию.
Как проводится тест на проникновение во внутреннюю сеть?
Для начала команда аудиторов вместе с компанией определяет периметр, охватываемый пентестом. В расчет может приниматься как вся ИБ и ее инфраструктура, так и только ее часть или даже отдельное приложение.
Затем определяется тип используемого сценария. В сценарии «черного ящика» аудиторы будут работать в условиях реальной компьютерной атаки. Это означает, что им не будет оказана помощь и никто, кроме нескольких лиц, принимающих решения, не будет знать, что проводится пентест. Это самый близкий к реальной ситуации сценарий. В «сером ящике» аудиторы четко идентифицированы и аутентифицированы, например, в тестируемом приложении, и смогут искать недостатки, потенциально связанные с различными доступными профилями пользователей.
Независимо от сценария, пентестеры будут тестировать системы безопасности, пытаясь обойти их и получить доступ к дополнительным правам для получения конфиденциальных данных.
Что делать после внутреннего теста на проникновение?
По окончании пентеста команда экспертов по безопасности составляет полный отчет. В нем описывается и перечисляется вся собранная информация, недостатки безопасности, использованные техники, программные и аппаратные инструменты, процессы и т.д. На основе этого отчета можно будет воспроизвести все операции, выполненные во время внутреннего теста на проникновение. Обнаруженные ошибки и выявленные проблемы, которые их вызвали, подробно описаны и объяснены, чтобы каждый получатель отчета имел полное и исчерпывающее представление.
Также прилагаются точные рекомендации, чтобы можно было принять эффективные меры по исправлению ситуации. Каждый раз будет предоставлено исследование рисков, возникающих в случае эксплуатации уязвимости, и стоимость исправления, которое необходимо произвести (разработка, изменение прав пользователя, обновление программного или аппаратного обеспечения и т. д.).
Реализация рекомендованных исправлений остается на усмотрение компании, которая затем должна оценить соотношение выгоды и риска.