Анастасия Гришина
Алексей ХалинПорядок проведения верификации недопустимых событий
Ядро методологииАнастасия ГришинаАлексей ХалинАнастасия ГришинаАлексей ХалинАнастасия ГришинаАлексей ХалинВерификация недопустимых событий — это специализированный вариант тестирования на проникновение, целью которого является практическая оценка возможности реализации недопустимых событий.
Верификация недопустимых событий проводится в формате red team. Этот подход подразумевает комплексную оценку защищенности инфраструктуры путем имитации действий реального злоумышленника. Цель подхода — оценить эффективность людей, процессов и технологий, задействованных в обеспечении информационной безопасности инфраструктуры. Защищенность оценивается относительно согласованных недопустимых событий и в соответствии с установленными целями.
В работах принимают участие две стороны:
Если в вашей компании имеются специалисты, способные проводить имитацию кибератак, используя инструменты, тактики, техники и процедуры известных APT-группировок, вы можете верифицировать недопустимые события самостоятельно, без привлечения сторонних организаций. При этом необходимо понимать, что штатные специалисты знают вашу IT-инфраструктуру и бизнес-процессы, протекающие в компании, поэтому такая оценка не может быть проведена методом черного ящика. Для получения объективной оценки реализуемости недопустимых событий от лица внешнего нарушителя, не имеющего информации о ваших системах, рекомендуем в качестве команды нападения привлекать сторонние организации.
Помимо оценки общего уровня кибербезопасности инфраструктуры в процессе верификации недопустимых событий команды защиты могут обучаться обнаружению и (или) противодействию киберугрозам, максимально приближенным к реальной жизни.
Перед началом тестирования заказчику необходимо определить актуальные для организации недопустимые события и критерии их реализации, а также утвердить их в формате перечня. После этого необходимо согласовать с исполнителем условия проведения работ и подписать соглашение об утверждении правил имитации кибератак в процессе верификации недопустимых событий. Подписание соглашения необходимо для старта работ, так как в нем утверждаются ключевые условия проведения тестирования, которые могут повлиять на конечный результат верификации недопустимых событий.
В соглашении необходимо утвердить:
Перед началом тестирования заказчик должен определить, будет ли команда защиты знать о проводимых работах. Если специалисты не будут знать о готовящемся нападении, то в результате получится более реалистичная картина эффективности их деятельности.
В процессе практической верификации недопустимых событий команда защиты может работать в двух режимах: мониторинга и активного противодействия.
В режиме мониторинга команда защиты только выявляет и регистрирует все действия команды нападения и не может оказывать активного противодействия атакующим. Поэтому она должна знать о проводимом тестировании и иметь полный перечень IP-адресов команды нападения, чтобы оперативно отличать действия специалистов от активности реальных киберпреступников.
В режиме активного противодействия команда защиты может использовать все доступные ей методы и средства защиты информации, за исключением блокировки IP-адресов команды нападения. Это позволяет проводить верификацию в реалистичном формате и качественно оценивать деятельность команды защиты.
Верификацию недопустимых событий команда нападения будет проводить с принадлежащих ей внешних IP-адресов. Этот список команда нападения может передать заказчику работ, при этом решение от том, запрашивать этот список или нет, остается за заказчиком работ. Он может передать его команде защиты, чтобы специалисты могли оперативно отличать действия команды нападения от реальных кибератак, которые могут происходить одновременно с верификацией недопустимых событий. Или же заказчик работ может предоставить этот список только заинтересованным руководителям без передачи данных команде защиты. В таком случае имитация кибератак будет проходить более реалистично, что позволит оценить эффективность реагирования команды защиты, но при этом всегда будет возможность понять, кто атакует компанию — команда нападения или реальный злоумышленник. Третий возможный вариант — это отказ от получения IP-адресов команды нападения, однако в таком случае команда защиты не сможет работать в режиме мониторинга.
Последним условием, которое необходимо выполнить при подготовке к тестированию, является определение доступных для команды нападения способов проникновения в ЛВС. В большинстве случаев для проникновения в инфраструктуру команда нападения:
Важно отметить, что реальные злоумышленники не ограничены в способах атак на организацию. Поэтому для получения всесторонней оценки реального уровня защищенности компании от кибератак и определения максимального числа возможных путей проникновения в ЛВС рекомендуется не ограничивать команду нападения в ее действиях.
Со стороны команды нападения верификация недопустимых событий проводится в четыре основных этапа, каждый из которых подразумевает использование различных средств и инструментов:
Этапы выполняются последовательно друг за другом. Однако в некоторых компаниях могут существовать недопустимые события, которые может реализовать внешний нарушитель без проникновения в инфраструктуру и закрепления в ней. Для таких событий после сбора информации можно сразу перейти к выполнению критериев их реализации.
Основные этапы верификации недопустимых событий для команды защиты зависят от выбранного режима работы.
Если выбран режим мониторинга, то действия команды защиты в верификации недопустимых событий будут состоять из трех шагов, а если режим активного противодействия — то из пяти шагов, соответствующих структуре полного цикла работы security operations center.
По результатам практической верификации недопустимых событий команда нападения разрабатывает отчет, который включает в себя общую оценку защищенности системы, детальную информацию о выявленных векторах атак, список реализованных недопустимых событий, а также рекомендации по устранению уязвимостей и недостатков механизмов защиты.
Полученные результаты можно использовать, чтобы актуализировать перечень недопустимых событий и практически подтвердить необходимость в трансформации системы обеспечения ИБ.
Для проведения верификации недопустимых событий необходимо выполнить следующие условия:
Указанные условия проведения работ повлияют на возможность достижения дополнительных целей работ, которыми могут являться:
Если все указанные условия выполнены, значит, организация готова к проведению верификации недопустимых событий и можно переходить к процессу выбора исполнителя работ. После определения исполнителя работ необходимо согласовать с ним указанные условия в соглашении об утверждении правил имитации кибератак в процессе верификации недопустимых событий.