Существуют три основных типа работ по оценке защищенности информационных систем: анализ защищенности, тестирование на проникновение и аудит информационной безопасности.
Анализ защищенности выполняется для различных объектов оценки: от программного обеспечения до целых сегментов сети. Основная цель — выявление уязвимостей, содержащихся в объекте оценки, и формирование рекомендаций по их устранению. Эффективность работ зависит от используемых методов и типов анализа.
Тестирование на проникновение выполняется в локальных вычислительных сетях или в их отдельных сегментах. Основная цель тестирования заключается в проверке эффективности системы защиты информации или построенных процессов выявления и реагирования на киберинциденты. Эффективность тестирования зависит от типа анализа и сроков выполнения.
Аудит информационной безопасности выполняется с целью выявления и устранения недостатков в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности.
| Параметры сравнения | Анализ защищенности | Тестирование на проникновение | Аудит информационной безопасности |
|---|
| Содержание работ | Выявление максимального количества существующих недочетов, допущенных в ходе проектирования, разработки и эксплуатации систем или приложений, практическая демонстрация возможности их использования и формирование рекомендаций по их устранению | Получение объективной и независимой оценки текущего уровня защищенности системы от атак со стороны внешнего и внутреннего нарушителя путем практической демонстрации преодоления сетевого периметра тестируемой организации и получения несанкционированного доступа к внутренним ресурсам сети | Получение объективных качественных и количественных оценок текущего состояния информационной безопасности систем и сетей в соответствии с определенными критериями и показателями безопасности |
| Цели работ | Выявить максимальное количество уязвимостей в системе, подтвердить возможность их эксплуатации и сформировать рекомендации по их устранению | Проверить эффективность выстроенной системы защиты информации или выстроенных процессов по выявлению и реагированию на киберинциденты (когда выбран вариант тестирования с противодействием) | Выявить недостатки в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности и сформировать рекомендации по их устранению |
| Время выполнения | От одного дня до трех месяцев | От одной недели до одного года | От одной недели до трех месяцев |
| Решаемые задачи | Поиск максимального количества уязвимостей с целью их устранения | Задачи тестирования на проникновение зависят от типа работы; такими задачами могут быть:
- оценка возможности проникновения в систему;
- оценка эффективности системы защиты информации и процессов по выявлению и реагированию на киберинциденты;
- проверка реализуемости недопустимых для организации событий | - Определение уровня защиты информации;
- оптимизация и планирование затрат на обеспечение информационной безопасности;
- обоснование инвестиций в системы защиты информации;
- проверка выполнения требований по обеспечению информационной безопасности систем, установленных требованиями или стандартами по информационной безопасности |
| Объекты оценки | - Отдельные приложения;
- устройства и оборудование;
- беспроводные сети и сети связи;
- локальные вычислительные сети;
- информационные системы или их компоненты | - Локальные вычислительные сети;
- информационные системы;
- отдельные сетевые сегменты (в том числе беспроводные) | - Локальные вычислительные сети;
- информационные системы;
- отдельные процессы;
- отдельные устройства;
- отдельные приложения |
| Методы оценки (модель нарушителя) | - Метод черного ящика;
- метод серого ящика;
- метод белого ящика | - От лица внешнего нарушителя;
- от лица внутреннего нарушителя | - Внутренний аудит;
- внешний аудит |
| Типы анализа | - Ручной, с использованием средств автоматизации;
- полностью автоматизированный (с последующим ручным анализом результатов) | Тестирование на проникновение может быть как с фокусом на недопустимые события, так и без него. К работам, в которых не рассматриваются недопустимые события, относятся:
- классическое тестирование на проникновение (с обозначением конкретных целевых систем и без них);
- непрерывное тестирование на проникновение (pentest 365);
- red teaming.
К работам с фокусом на недопустимые события относятся:
- верификация недопустимых событий;
- киберучения;
- purple teaming;
- взаимные киберучения | - Экспертная документальная проверка состояния защиты информации и информационных систем;
- экспертная проверка (в том числе с использованием средств автоматизации) реализованных мер защиты информации;
- анализ защищенности информационных систем с использованием технических средств для обнаружения потенциальных уязвимостей в программно-аппаратном комплексе;
- аттестация или сертификация реализованных систем и процессов информационной безопасности на предмет соответствия стандартам или требованиям законодательства |
| Результаты работ | Перечень уязвимостей и рекомендации по их устранению | Результаты тестирования на проникновение зависят от типа работы и могут содержать:
- векторы атак;
- полученные привилегии;
- достигнутые цели и целевые системы;
- верифицированные недопустимые события;
- перечень уязвимостей и рекомендаций по их устранению; - оценку эффективности системы защиты и мониторинга;
- оценку эффективности реагирования;
- оценку эффективности мониторинга и реагирования по заданным метрикам | - Перечень выявленных недостатков в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности;
- рекомендации по устранению выявленных недостатков и совершенствованию комплексной системы обеспечения информационной безопасности;
- предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков |
| Резюме | Анализ защищенности проводится, когда нужно выявить максимальное число уязвимостей в тестируемой системе, а также на этапах разработки, ввода в эксплуатацию и эксплуатации информационной системы | Тестирование на проникновение проводится, когда нужно проверить эффективность выстроенной системы и процессов защиты информации. Такие работы рекомендуется проводить только тогда, когда информационная система подготовлена к промышленной эксплуатации в части информационной безопасности или уже эксплуатируется и только при наличии системы защиты информации | Аудит проводится, когда нужно оценить выполнение заданных требований безопасности. Такие работы могут выполняться на всех этапах жизненного цикла системы |
Таким образом, чтобы определить необходимый тип работ, сформулируйте свою задачу. Если вы хотите узнать, какие уязвимости содержатся в вашей системе, и устранить их, или вы разработчик программного обеспечения и не хотите подвергать ваших пользователей риску быть взломанными, в таких случаях проводите анализ защищенности. Если ваша задача звучит как «Могут ли меня взломать?» или «Как я выгляжу в глазах хакера?» — проводите тестирование на проникновение. Если же ваша цель — подтвердить, соответствует ли ваша система тем или иным требованиям или стандартам, — проводите аудит информационной безопасности.
АХАлексей Халин