Сравнение работ по тестированию на проникновение

Работы по тестированию на проникновение применяются для проверки эффективности выстроенной системы защиты информации или выстроенных процессов по выявлению и реагированию на киберинциденты. Тестирование на проникновение может быть как с фокусом на недопустимые события, так и без него. Таким образом, оценка защищенности в формате тестирования на проникновение делится на две большие группы, при этом самыми распространенным типами работ в группе без фокуса на недопустимые события являются классическое тестирование на проникновение и red teaming, а с фокусом — верификация недопустимых событийверификация недопустимых событийверификация недопустимых событий и киберучения на собственной IT-инфраструктурекиберучения на собственной IT-инфраструктурекиберучения на собственной IT-инфраструктуре. Ниже приведен сравнительный анализ четырех типов тестирования на проникновение.

Параметры	Классическое тестирование на проникновение	Red teaming	Верификация недопустимых событий	Киберучения на собственной IT-инфраструктуре
Цель работ	Оценка возможности проникновения в систему или повышения привилегий с учетом выстроенной системы защиты информации	Оценка возможности проникновения в систему путем моделирования атак APT-группировок с учетом выстроенной системы защиты информации	Оценка возможности реализации недопустимых событий	Оценка эффективности системы защиты информации, процессов по выявлению и реагированию на киберинциденты или подразделения по защите информации по заданным метрикам
Модель нарушителя	Внешний или внутренний нарушитель	Внешний нарушитель	Внешний или внутренний нарушитель	Внешний нарушитель
Необходимость наличия средств защиты информации	Да	Да	Да	Да
Необходимость наличия службы информационной безопасности	Нет	Да	Нет	Да
Время работ	От одной недели	От одного месяца	От одного месяца	От двух месяцев
Результаты работ	- Оценка эффективности системы защиты и мониторинга; - достигнутые целевые системы; - полученные привилегии; - векторы атак; - перечень уязвимостей и рекомендаций по их устранению; - рекомендации по повышению защищенности систем	- Оценка эффективности реагирования; - оценка эффективности системы защиты и мониторинга; - достигнутые целевые системы; - полученные привилегии; - векторы атак; - перечень уязвимостей и рекомендаций по их устранению; - рекомендации по повышению защищенности систем; - рекомендации по повышению эффективности мониторинга и реагирования, деятельности команды защиты, защищенности систем	- Верифицированные недопустимые события и варианты их реализации; - перечень критериев реализации недопустимых событий; - достигнутые целевые системы; - полученные привилегии; - векторы атак; - перечень уязвимостей и рекомендаций по их устранению; - рекомендации по повышению защищенности систем	- Оценка эффективности выстроенных процессов мониторинга и реагирования по заданным метрикам; - оценка эффективности работы команды реагирования по заданным метрикам; - верифицированные недопустимые события и варианты их реализации; - достигнутые целевые системы; - полученные привилегии; - векторы атак; - перечень уязвимостей и рекомендаций по их устранению; - рекомендации по повышению эффективности мониторинга и реагирования, деятельности команды защиты, защищенности систем
Что нужно для начала работ	- Утвержденные границы проведения работ; - разрешительное письмо на проведение работ; - перечень целевых систем (опционально)	- Виды APT-атак, которые согласованы для тестирования; - утвержденные границы проведения работ; - разрешительное письмо на проведение работ	- Перечень недопустимых событий и критериев их реализации; - утвержденные границы проведения работ; - разрешительное письмо на проведение работ	- Перечень недопустимых событий и критериев их реализации; - утвержденные границы проведения работ; - согласованный способ документирования результатов работы для правильного подсчета метрик оценки эффективности работы системы защиты информации, процессов по выявлению и реагированию на киберинциденты или подразделения по защите информации; - разрешительное письмо на проведение работ
Альтернативные варианты работ	Непрерывное тестирование на проникновение (pentest 365) Минимальный срок выполнения: от одного года. Непрерывное тестирование на проникновение позволяет выявлять угрозы безопасности информации, возникающие в процессе эксплуатации системы	Purple teaming Минимальный срок выполнения: от одного месяца. Указанные работы направлены на обучение команды реагирования и повышение эффективности их работы	Нет	Purple teaming Минимальный срок выполнения: от одного месяца. Указанные работы направлены на обучение команды реагирования и повышение ее эффективности и могут не содержать всех указанных результатов и входных данных. Взаимные киберучения Минимальный срок выполнения: от трех месяцев. Указанные работы направлены на взаимную оценку эффективности работы системы защиты информации, процессов по выявлению и реагированию на киберинциденты или работы подразделения по защите информации по заданным метрикам. Проводится между двумя организациями с достаточным уровнем экспертизы. Киберучения на киберполигоне Минимальный срок выполнения: от одной недели. Позволяют отработать отдельные навыки команды защиты, но не позволяют оценить ее эффективность в условиях реальной действующей инфраструктуры. Такой вариант киберучений актуален для тех информационных систем, в отношении которых невозможно проведение работ на действующей инфраструктуре, например АСУ ТП
Резюме	Указанные работы проводят для проверки возможности проникновения или повышения привилегий в системе с учетом выстроенной системы защиты информации. При этом система защиты информации может не иметь процессов мониторинга и реагирования на киберинциденты и ограничиваться настроенными средствами защиты информации и безопасной конфигурацией систем. Альтернативный вариант реализации работ предназначен для выявления аналогичных недостатков, возникающих в процессе эксплуатации системы	Указанные работы проводят с целью выявления недостатков в системе защиты информации, мониторинге и реагировании на киберинциденты, которые могут быть использованы APT-группировками в процессе проведения целевых кибератак	Указанные работы позволяют верифицировать возможность реализации недопустимых для организации событий в результате кибератак, а также способы и критерии их реализации. Работы требуют со стороны руководства понимания процессов, нарушение которых способно нанести серьезный ущерб	Киберучения в действующей инфраструктуре проводятся для оценки эффективности процессов по мониторингу и реагированию на киберинциденты по заданным метрикам. Альтернативный вариант в виде взаимных киберучений позволяет повысить регулярность и эффективность работ за счет постоянного взаимодействия с равными по квалификации экспертами и обмена знаниями. Вариант киберучений purple teaming позволяет отработать навыки защиты на действующей инфраструктуре. Вариант киберучений на киберполигоне позволяет отработать навыки защиты критически значимых систем, а также определить критерии реализации недопустимых событий в таких системах, если проведение учений на реально действующих объектах невозможно

Как выбрать тип и метод тестирования

Выбор наиболее подходящего метода тестирования зависит от множества факторов. Как минимум перед началом необходимо определить:

цель работ;
временные ресурсы;
состояние информационной системы;
готовность службы информационной безопасности участвовать в тестировании.

Ниже смоделировано несколько ситуаций, которые помогут определиться с типом тестирования на проникновение:

Если полноценная служба информационной безопасности отсутствует и требуется проверить, способна ли система защиты устоять перед атакой хакеров, то рекомендуется выбирать классическое тестирование на проникновение.
Если планируется постепенная модернизация корпоративной информационной системы и требуется следить за эффективностью ее системы защиты на всем протяжении работ, то рекомендуется выбрать непрерывное тестирование на проникновение (pentest 365).
Если в организации есть полноценная служба информационной безопасности и требуется оценить, сможет ли она защитить корпоративную информационную систему от целенаправленных кибератак, то рекомендуется выбирать работы в формате red teaming.
Если в организации определен перечень недопустимых для бизнеса событий и требуется оценить, можно ли их реализовать с помощью кибератак, то рекомендуется выбирать верификацию недопустимых событий.
Если требуется оценить эффективность процессов по выявлению и реагированию на киберинциденты или деятельность службы информационной безопасности по конкретным параметрам, то рекомендуется выбирать киберучения, при этом для минимизации рисков отказа в обслуживании действующей инфраструктуры их можно провести на киберполигоне.
Если требуется обучить или повысить квалификацию специалистов службы информационной безопасности в части мониторинга, выявления и своевременного реагирования на киберинциденты, то рекомендуется выбирать работы в формате purple teaming.

Как выбрать тип и метод тестирования

Следующие статьи