Порядок проведения верификации недопустимых событий

О верификации недопустимых событий

Верификация недопустимых событий — это специализированный вариант тестирования на проникновение, целью которого является практическая оценка возможности реализации недопустимых событий.

Верификация недопустимых событий проводится в формате red team. Этот подход подразумевает комплексную оценку защищенности инфраструктуры путем имитации действий реального злоумышленника. Цель подхода — оценить эффективность людей, процессов и технологий, задействованных в обеспечении информационной безопасности инфраструктуры. Защищенность оценивается относительно согласованных недопустимых событий и в соответствии с установленными целями.

В работах принимают участие две стороны:

специалисты по проведению тестирования на проникновение и имитации целевых атак (команда нападения);
специалисты подразделений информационных технологий и информационной безопасности (команда защиты).

Если в вашей компании имеются специалисты, способные проводить имитацию кибератак, используя инструменты, тактики, техники и процедуры известных APT-группировок, вы можете верифицировать недопустимые события самостоятельно, без привлечения сторонних организаций. При этом необходимо понимать, что штатные специалисты знают вашу IT-инфраструктуру и бизнес-процессы, протекающие в компании, поэтому такая оценка не может быть проведена методом черного ящика. Для получения объективной оценки реализуемости недопустимых событий от лица внешнего нарушителя, не имеющего информации о ваших системах, рекомендуем в качестве команды нападения привлекать сторонние организациисторонние организациисторонние организации.

Помимо оценки общего уровня кибербезопасности инфраструктуры в процессе верификации недопустимых событий команды защиты могут обучаться обнаружению и (или) противодействию киберугрозам, максимально приближенным к реальной жизни.

Подготовка к верификации недопустимых событий

Перед началом тестирования заказчику необходимо определить актуальные для организации недопустимые события и критерии их реализации, а также утвердить их в формате перечня. После этого необходимо согласовать с исполнителем условия проведения работ и подписать соглашение об утверждении правил имитации кибератак в процессе верификации недопустимых событий. Подписание соглашения необходимо для старта работ, так как в нем утверждаются ключевые условия проведения тестирования, которые могут повлиять на конечный результат верификации недопустимых событий.

В соглашении необходимо утвердить:

круг лиц со стороны заказчика работ, которые будут осведомлены о предстоящей верификации недопустимых событий;
формат противодействия команде нападения со стороны команды защиты;
список IP-адресов, с которых команда нападения будет проводить атаки, и условия его передачи заказчику работ;
возможные способы проникновения в локальную вычислительную сеть заказчика работ (ЛВС).

Перечень лиц, осведомленных о работах

Перед началом тестирования заказчик должен определить, будет ли команда защиты знать о проводимых работах. Если специалисты не будут знать о готовящемся нападении, то в результате получится более реалистичная картина эффективности их деятельности.

Формат работы команды защиты

В процессе практической верификации недопустимых событий команда защиты может работать в двух режимах: мониторинга и активного противодействия.

В режиме мониторинга команда защиты только выявляет и регистрирует все действия команды нападения и не может оказывать активного противодействия атакующим. Поэтому она должна знать о проводимом тестировании и иметь полный перечень IP-адресов команды нападения, чтобы оперативно отличать действия специалистов от активности реальных киберпреступников.

В режиме активного противодействия команда защиты может использовать все доступные ей методы и средства защиты информации, за исключением блокировки IP-адресов команды нападения. Это позволяет проводить верификацию в реалистичном формате и качественно оценивать деятельность команды защиты.

Раскрытие списка IP-адресов команды нападения

Верификацию недопустимых событий команда нападения будет проводить с принадлежащих ей внешних IP-адресов. Этот список команда нападения может передать заказчику работ, при этом решение от том, запрашивать этот список или нет, остается за заказчиком работ. Он может передать его команде защиты, чтобы специалисты могли оперативно отличать действия команды нападения от реальных кибератак, которые могут происходить одновременно с верификацией недопустимых событий. Или же заказчик работ может предоставить этот список только заинтересованным руководителям без передачи данных команде защиты. В таком случае имитация кибератак будет проходить более реалистично, что позволит оценить эффективность реагирования команды защиты, но при этом всегда будет возможность понять, кто атакует компанию — команда нападения или реальный злоумышленник. Третий возможный вариант — это отказ от получения IP-адресов команды нападения, однако в таком случае команда защиты не сможет работать в режиме мониторинга.

Способы проникновения в локальную вычислительную сеть

Последним условием, которое необходимо выполнить при подготовке к тестированию, является определение доступных для команды нападения способов проникновения в ЛВС. В большинстве случаев для проникновения в инфраструктуру команда нападения:

проводит атаки на ресурсы сетевого периметра (ресурсы, доступные из интернета);
проводит атаки на сотрудников (методы социальной инженерии и атаки типа «дорожное яблоко»);
проводит атаки на корпоративные беспроводные сети;
пытается подключиться к Ethernet-розеткам, расположенным в помещениях со свободным доступом на вашей территории.

Важно отметить, что реальные злоумышленники не ограничены в способах атак на организацию. Поэтому для получения всесторонней оценки реального уровня защищенности компании от кибератак и определения максимального числа возможных путей проникновения в ЛВС рекомендуется не ограничивать команду нападения в ее действиях.

Основные этапы верификации недопустимых событий со стороны команды нападения

Со стороны команды нападения верификация недопустимых событий проводится в четыре основных этапа, каждый из которых подразумевает использование различных средств и инструментов:

сбор исходной информации;
проникновение в инфраструктуру;
закрепление в инфраструктуре и развитие кибератаки во внутренней сети;
выполнение критериев реализации недопустимых событий.

Этапы выполняются последовательно друг за другом. Однако в некоторых компаниях могут существовать недопустимые события, которые может реализовать внешний нарушитель без проникновения в инфраструктуру и закрепления в ней. Для таких событий после сбора информации можно сразу перейти к выполнению критериев их реализации.

Основные этапы верификации недопустимых событий со стороны команды защиты

Основные этапы верификации недопустимых событий для команды защиты зависят от выбранного режима работы.

Если выбран режим мониторинга, то действия команды защиты в верификации недопустимых событий будут состоять из трех шагов, а если режим активного противодействия — то из пяти шагов, соответствующих структуре полного цикла работы security operations center.

№ шага	Режим мониторинга	Режим активного противодействия
1	Обнаружение. Выявление инцидентов информационной безопасности и регистрация карточек киберинцидентов	Обнаружение. Выявление инцидентов информационной безопасности и регистрация карточек киберинцидентов
2	Удаление. Приведение скомпрометированных частей инфраструктуры в состояние, в котором они находились до проведения работ	Сдерживание. Определение скомпрометированных узлов и принятие контрмер
3	Выводы. Оценка действий команды защиты путем сравнения технического отчета с зарегистрированными карточками киберинцидентов	Удаление. Приведение скомпрометированных частей инфраструктуры в состояние, в котором они находились до проведения работ
4	-	Восстановление. Восстановление всех скомпрометированных узлов инфраструктуры
5	-	Выводы. Оценка действий команды защиты путем сравнения технического отчета с зарегистрированными карточками киберинцидентов

Результаты верификации недопустимых событий

По результатам практической верификации недопустимых событий команда нападения разрабатывает отчет, который включает в себя общую оценку защищенности системы, детальную информацию о выявленных векторах атак, список реализованных недопустимых событий, а также рекомендации по устранению уязвимостей и недостатков механизмов защиты.

Полученные результаты можно использовать, чтобы актуализировать перечень недопустимых событий и практически подтвердить необходимость в трансформации системы обеспечения ИБ.

Определение готовности к проведению верификации недопустимых событий

Для проведения верификации недопустимых событий необходимо выполнить следующие условия:

определить недопустимые события и критерии их реализации;
определить границы и условия проведения работ:
- осведомленность команды защиты о проводимых работах;
- формат работы команды защиты;
- знание командой защиты IP-адресов, используемых командой нападения;
- ограничения на способы проникновения в локальную вычислительную сеть.
определить лицо, ответственное за проведение работ.

Указанные условия проведения работ повлияют на возможность достижения дополнительных целей работ, которыми могут являться:

оценка эффективности системы мониторинга;
оценка эффективности работы команды реагирования.

Если все указанные условия выполнены, значит, организация готова к проведению верификации недопустимых событий и можно переходить к процессу выбора исполнителя работ. После определения исполнителя работ необходимо согласовать с ним указанные условия в соглашении об утверждении правил имитации кибератак в процессе верификации недопустимых событий.