В начале этого года ООО «Рубикон» проводили Мероприятие посвящалось вопросам безопасности веб-ресурсов, интернета вещей, сетевой инфраструктуры организаций, операционных систем, а также беспроводных сетей.
В связи с переходом на импортозамещение и стремлением к независимости в вопросах систем безопасности информации повышаются требования к специалистам в данной области. Например, утвержден профессиональный стандарт «специалист по защите информации в автоматизированных системах». Актуальным вопросом становится тестирование систем на устойчивость к уязвимостям, а также их поиск и устранение. На этом и акцентировали внимание спикеры вебинара.
Пентест как эффективный метод выявления уязвимостей
В качестве эксперта выступал специалист по информационной безопасности ООО «Рубикон» Михаил Немошкалов.Также на мероприятии присутствовал Директор по ИБ Артем Половинко и заместитель директора по развитию бизнеса Алла Шлюпкина. Михаил обратил внимание, что пентест является весьма актуальным инструментом выявления уязвимостей. Это связано, в первую очередь, с участившимися кибератаками на фоне мировой повестки.
Также активное развитие интернета вещей способствует увеличению количества устройств, имеющих доступ в сеть, что расширяет охват для различных атак. Исходя из этого растет актуальность информационной безопасности.
Что такое пентестПентест является одним из наиболее эффективных способов анализа защищенности ИТ-инфраструктуры в организации.
Во время теоретической части подробно обсуждали:
Этапы проведения пентеста от заключения договора до отчета перед заказчиком.
Виды пентеста.
Методы проведения пентеста. Напомним, что это «черный», «серый» и «белый» ящики.
Объекты проведения пентеста. Объектами могут быть:
сетевая инфраструктура
операционные системы
веб-приложения
IoT (интернет вещей)
беспроводные сети
OSINT
люди (социальная инженерия).
Подробнее с общей информацией о пентесте можно познакомиться
Демонстрация работы пентестаМихаил продемонстрировал на практике, как проводится пентест и какие инструменты необходимы для работы.
Зрители увидели, что представляет из себя дистрибутив Kali Linux. Это операционная система Linux, включающая в себя необходимый инструментарий для пентеста.
В качестве примера пентеста сканировали уязвимое веб-приложение. Удалось посмотреть открытые порты и сервисы. Применялось агрессивное сканирование, но во время пентеста такой способ не рекомендуется, так как это может повлечь за собой различные сбои на ресурсах заказчика с последующими ошибками и некорректной работой.
Сканирование позволило обнаружить открытые порты — FTP и SSH. Далее проанализировали полученную информацию, выявляя сервисы, используемые на устройстве.
Михаил продемонстрировал на примере выявленного порта возможность войти в браузер по известному IP-адресу. Так было найдено веб-приложение. Уязвимостей у ресурса выявлено было довольно много.
Инструменты для пентеста может скачать любой желающий, установить Kali Linux и самостоятельно попрактиковаться в проведении атаки на ресурсы. Главное — помнить, что тренироваться стоит только на стенде. Применение данных инструментов на реальных объектах, без согласия владельца, влечет за собой ответственность, в том числе уголовную.
На этом демонстрационная часть была окончена. С записью демонстрации можете познакомиться ниже.
Вопросы спикерамВ паузе между теоретической частью и демонстрацией пентеста спикерам удалось пообщаться с аудиторией. Также по завершении выступления студенты охотно вели диалог с экспертами, интересовались различными аспектами профессии. Ниже представлены некоторые вопросы и ответы на них.
Какой из видов тестирования является наиболее эффективным?Важно разработать модель угроз для конкретного объекта, чтобы ответить на вопрос. Но все же наиболее эффективным видом можно считать «Черный ящик», т.к. чаще всего атаки производятся извне. «Черный ящик» позволит найти меньше уязвимостей, но при этом это будут самые критические недочеты, устранение которых заметно повысит уровень безопасности объекта.
Какой основной возрастной ценз, находящийся в зоне риска для атак социальной инженерии?Группой риска всегда выступала возрастная аудитория, но в связи с текущей ситуацией в мире, сейчас основным объектом является молодежь. Вектор атаки, в целом, сместился к похищению информации, а не материальных ценностей. Следует отметить, что сейчас общество в состоянии информационной войны, из чего вытекают озвученные тенденции.
Насколько инструменты VPN способствовали развитию социальной инженерии?Мы живем в «быстром мире», многие используют гаджеты параллельно с какими-то видами деятельности, что приводит к снижению внимания. Информация о VPN-сервисах не всегда корректна, а некоторые приложения могут содержать вредоносные данные. Именно невнимательное изучение используемых VPN может являться ключевым фактором для успешности атак по средствам социальной инженерии.
Учитывается ли психологический фактор в работе специалистов по информационной безопасности?Как таковых разработок в этом направлении нет, но на этапе разведки специалисты формируют портреты целевой аудитории. В зависимости от выбранной группы выбирается стратегия для атаки. Специалисты касаются социальной инженерии в общих чертах. Более углубленно этим занимаются так называемые «Red Team». Необходимо сформироваться определенной критической массе в данном вопросе, тогда этот вопрос получит больше внимания.
Каковы рекомендации для минимизации рисков от социальной инженерии?Проводятся вебинары и отдельные курсы обучения информационной безопасности. Сюда входит и компьютерная грамотность, и социальная инженерия. Рекомендуется в организациях проводить инструктажи по информационной безопасности. Необходимо более внимательно относиться к этому вопросу. Последнее время, что радует, организации начали более серьезно относиться к данному вопросу.
Можно ли использовать средства пентеста для работы с информационными системами, например телемедицине?Все инструменты пентеста направлены на выявление уязвимостей, соответственно, в вопросах критической информационной инфраструктуры такие средства задействовать можно и нужно. Но часто вопрос стоит в рентабельности подобных решений. Не зависимо от масштабности компании целесообразно периодически прибегать к услугам специалистов по информационной безопасности для проведения тестирования на проникновение. Важно помнить,что такие услуги может проводить только лицензиат ФСТЭК России.
Можно ли использовать мобильные устройства для проведения пентеста?Все зависит, в первую очередь, от поставленных целей. Инструментов для мобильных устройств не очень много, и, как правило, они весьма узконаправленные.
Какие сроки проведения пентеста для средней организации?Срок составляет от одного месяца, так как процесс связан с множеством юридических вопросов.
Можно ли проводить пентест в качестве мониторинга информационной безопасности?
Существуют инструменты, которые автоматически осуществляют мониторинг, позволяют отобразить актуальное положение дел в части информационной безопасности. Однако есть отдельные методы и инструменты, ориентированные на мониторинг за рамками пентеста.
Какова численность рабочей команды проекта и «вилка цен» за услугу?Многое зависит от сложности задачи. Цены могут начинаться от 300-400 тысяч рублей и доходить до нескольких миллионов. В состав команды пентеста , как правило, входят четыре человека. Пара специалистов занимаются внутренним тестированием, другие - внешним.
Каковы рекомендации для обеспечения безопасности IOT?Антивирусных систем на данных устройствах не существует, поэтому необходимо регулярно обновлять программное обеспечение. Также необходимо использовать надежные пароли в беспроводных сетях и безопасные протоколы. Регулярная смена паролей также позволит снизить риски взлома.
На какие дисциплины в университете следует обратить внимание, если интересен пентест?Обратить внимание следует на предметы, связанные с сетями и операционными системами. Главная идея пентестера заключается в умении разбираться в любой инфраструктуре. Важно, чтобы специалисты умели находить так называемые «Zero day» (уязвимости нулевого дня) — неустраненные уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы .
Необходимо ли изучать языки программирования для работы в сфере информационной безопасности?Сейчас специалисты по информационной безопасности чаще всего используют для автоматизации работы язык программирования Python, но рекомендуется обратить внимание на объектно-ориентированные языки.Например, С++. Важно уметь строить алгоритмы, так как это является основой программирования.
Что необходимо знать и уметь студентам, чтобы после выпуска трудоустроиться и развиваться профессионально?Важнейшим качеством является умение разбираться и искать информацию. Сейчас информации очень много, но не вся является полезной и достоверной. Необходимо уметь отделять необходимую актуальную информацию от общей массы. Также будет большим плюсом, если программирование являтся хобби или дополнительной деятельностью. В таком случае у него будет возможность успешно развиваться в этой сфере.
Также можно участвовать в активностях по «захвату флага» (англ. Capture the Flag или CTF) — это упражнения или соревнования в компьютерной безопасности, в котором «флаги» тайно прячутся в преднамеренно уязвимых ресурсах.Таким образом, в игровой форме можно развивать свои навыки. Но, все же, CTF является искусственной средой, и в жизни все сложнее.
Помимо сказанного, стоит обратить внимание, что в целом сфера информационной безопасности опирается на нормативные документы, поэтому каждому специалисту нужно знать действующее законодательство.
Представители компании ООО «Рубикон» поблагодарили студентов за проявленную активность во время вебинара и пожелали, чтобы у них «горели глаза» и они любили то, чем занимаются.
