Аудит информационной безопасности: не пентестом единым

Существует распространенное мнение, что аудит информационной безопасности (ИБ) — это исключительно пентест. Однако эта позиция ошибочна и может привести к самым неожиданным и неприятным результатам. В данной статье я расскажу, почему пентест не замена комплексному аудиту и в каких случаях их надо проводить.

Каким бывает аудит информационной безопасности

Аудит информационной безопасности — мероприятия для проверки текущего состояния защиты ИТ-инфраструктуры, выявления уязвимостей и потенциальных угроз. Подобный анализ проводят в отношении корпоративных сетей, отдельных устройств и систем, приложений, сайтов, серверов и процессов.

Есть несколько видов аудита ИБ:

• Инвентаризация. Самый простой вид аудита. Он помогает узнать, какие вычислительные ресурсы, сетевые устройства и средства защиты есть в компании. Если ранее организация никак не занималась информационной безопасностью, то инвентаризация — первый шаг в наведении порядка и выстраивании процессов. Это поможет понять, какие активы, нуждаются в защите.

• Документарный аудит. ИБ-специалисты анализируют архитектуру системы, схемы корпоративной сети, организационно-распорядительные документы. В данном случае документарный аудит дополняется сбором сетевых конфигураций и сетевых устройств, средств защиты информации, серверов, рабочих станций и пр.

• Пентест. Это вид аудита, при котором специалисты не только ищут уязвимости, но и проверяют возможность их реальной эксплуатации. С одной стороны, пентест нужен на случай, если у бизнеса уже есть система защиты информации, введены организационные меры, и компания проверяет, насколько эффективно всё это работает.

При этом сами попытки взлома при пентесте ничего не скажут об архитектуре системы, конфигурации и их проблемах, сетевых устройствах и серверах, о недостатках в организационных мерах и о том, как проработаны документы. Этот вид аудита даёт ясность лишь в том, удалось ли проэксплуатировать уязвимости, найденные разными методами, в том числе с использованием сканеров безопасности. Если пентест включает в себя ещё и аналитическую часть, то в отчёте также могут быть рекомендации, какими дополнительными средствами защиты это можно «закрыть».

Пентесты бывают трех видов:

1. «Черный ящик» (Black Box): система полностью неизвестна для пентестера, который работает как бы наравне со злоумышленником, у которого нет инсайдерской информации о сети;

2. «Серый ящик» (Grey Box): есть частичная информация о ресурсах компании;

3. «Белый ящик» (White Box): у пентестера есть все вводные о корпоративной сети.

Как показывает практика, и злоумышленник, и пентестер могут легко найти всю информацию о доменах, IP-адресах, структуре сети и оборудовании в случае Black Box – многое из этого есть в открытом доступе, например, на сайте госзакупок (если анализ касается компании с госучастием). Поэтому «чёрным» этот ящик остаётся для опытного пентестера буквально на 5-10 минут.

• Комплексный аудит. Он включает в себя инвентаризацию активов, анализ документов, конфигураций и наличия обновлений, настройку компонентов корпоративной системы и средств защиты. Это обязательный шаг для компаний, которые беспокоятся о своей информационной безопасности и хотят добиться высоких результатов в этом.

Зачем нужен аудит ИБ

Причин провести аудит информационной безопасности много, вот несколько из них:

• Обоснование необходимости создания системы защиты. Это можно получить и с помощью моделирования угроз (помогает определить актуальные угрозы безопасности) и оценки рисков (даёт понимание, сколько компания может потерять в случае реализации угроз), однако эти меры предполагают исходные данные, которые можно получить при помощи аудита. Он как основа обоснования, поскольку позволяет определить, какие «бреши» необходимо закрывать в первую очередь, и понять, сколько денег можно выделять на создание системы защиты.

• Оценка защищенности корпоративных ИТ-ресурсов и чувствительной информации. При отсутствии верхнеуровневых средств защиты, которые обеспечивают мониторинг, визуализацию защищенности корпоративной сети, компания может лишь надеяться, что система реально работает.

• Основа для последующих работ в области ИБ. Поскольку аудит даёт понимание текущих проблем, компания может составить план действий по обеспечению информационной безопасности. Это актуально для всех, потому что нереально  сразу внедрить весь спектр необходимых мер.

• Определение соответствия (комплаенс) требованиям регуляторов, лучшим практикам, стандартам отрасли. Это особенно важно для компаний, которые обрабатывают информацию ограниченного доступа, — им необходимо знать, насколько хорошо у них обстоят дела с защитой этой информации, ведь на кону репутация. Для этого они проводят аудит, по результатам которого получают перечень несоответствий и вариантов их устранения.

Другой важный момент — соответствие лучшим практикам, или документам, выпускаемым производителями сетевого оборудования и средств защиты информации. В них вендоры описывают подходы с примерами, как обеспечивать необходимую защиту информации. 

Что компания получает в результате аудита

Главный результат аудита — аналитический отчет. Он состоит из:

• информации о том, как проводился аудит, его методике и скоупе работ (особенно, если специалисты ограничивались лишь подсистемами и отдельными сегментами, а не проверяли всю инфраструктуру);

• перечня лиц, которые проводили это исследование;

• данных об используемых технических средствах;

• списка выявленных уязвимостей и слабостей в ИТ-архитектуре;

• рекомендаций по устранению, обязательно с приоритезацией этих шагов.

Аудит может дать в некоторых случаях не только полезную информацию, но и повредить систему. Как правило, это происходит при неправильном выборе вида аудита, например, пентеста. Различные методы доступа в его случае могут приводить к зависанию и перегрузкам устройств, потере информации и другим печальным последствиям. Особенно критична эта ошибка в случаях с критичными ресурсами, такими как, автоматизированные системы управления технологическими процессами. Эксперты не рекомендуют делать пентест для подобных ИТ-решений — его следует проводить в момент технического обслуживания, когда система приостановлена и не действует, или на стенде, где есть возможность отработать атаки.

Как же выбрать подходящий аудит? Тут два основных момента, которые компании нужно для себя определить: цель аудита и степень зрелости ИТ- и ИБ-инфраструктуры. Понимание этого и позволит выбрать точно подходящий вид аудита информационной безопасности. К примеру, если цель – обосновать создание системы защиты и при этом у вас плоская (несегментированная) корпоративная сеть, то однозначно нужен комплексный аудит и делать пентест рановато.

Таким образом, можно сделать вывод, что пентест – это эффективный и крайне наглядный вид аудита, но применим только тогда, когда существующая система защиты достаточно эффективна, но нужно проверить по большей части технические меры защиты.