В статье с разбором упоминалось о том, что тестирование на проникновение может быть как с фокусом на недопустимые события, так и без него. Таким образом, оценка защищенности в формате тестирования на проникновение делится на две большие группы, при этом самым распространенным типом в группе без фокуса на недопустимые события является классическое тестирование на проникновение, а с фокусом — .
Несмотря на то, что классическое тестирование на проникновение и верификация недопустимых событий имеют схожий формат и порядок выполнения работ, их цели существенно различаются. Классическое тестирование на проникновение направлено на оценку эффективности выстроенной системы обеспечения информационной безопасности, обнаружение как можно большего числа способов проникновения во внутреннюю сеть и получение в ней максимальных привилегий. Верификация же является одним из возможности реализации с помощью кибератаки событий, наступление которых нанесет непоправимый ущерб бизнесу. Сравним основные этапы рассматриваемых типов работ.
Таким образом, в ходе верификации недопустимых событий основные действия команды специалистов по тестированию на проникновение начинаются после получения доступа во внутренние сети и получения максимальных привилегий во внутренней инфраструктуре (по возможности). В ходе верификации недопустимых событий специалисты начинают исследование логики работы внутренних систем и бизнес-процессов, протекающих в организации и затрагивающих интересующие их целевые системы. Такое исследование необходимо для того, чтобы достичь главной цели верификации недопустимых событий — определить, какие действия нарушителя могут нанести непоправимый ущерб организации и продемонстрировать на практике, как это может произойти. Наглядно зоны покрытия выполняемых работ представлены на рисунке ниже.
Рисунок 1. Зоны покрытия работ
Результаты рассматриваемых типов оценки защищенности также отличаются. Верификация недопустимых событий покрывает большее количество метрик, которые формируют конечный результат.
Помимо результатов отличаются и способы их достижения. В классическом тестировании на проникновение перечень методов тестирования ограничен атаками на сетевой периметр и внутреннюю сеть, а оценка осведомленности сотрудников в вопросах информационной безопасности и анализ защищенности беспроводных сетей (Wi-Fi) являются дополнительными работами и не входят в базовый перечень исследований. В ходе верификации недопустимых событий специалисты могут применять любые методы проникновения, включая методы социальной инженерии, проникновение через беспроводные сети и другие.
Кроме того, для указанных работ отличается характер действий команды специалистов по тестированию на проникновение. В классическом тестировании она, как правило, не скрывает своих действий. В случае верификации недопустимых событий ситуация иная. Специалисты должны стремиться осуществлять свои действия максимально скрытно, и для этого им необходимо обладать глубокими знаниями и навыками в области проведения кибератак и обратной разработки ПО, владеть техниками обхода средств защиты и сокрытия следов атаки, а также самостоятельно разрабатывать эксплойты и другое вредоносное программное обеспечение. Помимо перечисленного, для реализации недопустимых событий специалисты дополнительно изучают бизнес-процессы организации, поведение сотрудников, их типовые действия на целевых системах, подстраивают векторы атак под такие процессы, чтобы остаться незамеченными для средств защиты, отслеживающих аномалии в поведении пользователей. Таким образом, верификация недопустимых событий — более глубокий, сложный и ресурсоемкий с технической точки зрения процесс, требующий значительно более высокой квалификации от исполнителя и большего количества времени на реализацию.