Язык/Language/Тили:

Анализ защищённости и расследование инцидентов

Целью анализа защищённости является выявление уязвимостей в информационной инфраструктуре, что позволяет спланировать дальнейшие действия по устранению недостатков, а при необходимости — принять дополнительные меры защиты и усовершенствовать процессы информационной безопасности. Таким образом, весь комплекс мероприятий — выявление, устранение и предотвращение — направлен на снижение вероятности реализации различных угроз безопасности.

Это позволяет наилучшим образом подготовить существующую инфраструктуру для её применения в соответствие с требованиями законодательства, отраслевых требований и с учётом сложившегося мирового опыта, основанного на международных стандартах информационной безопасности и лучших мировых практиках.

Объекты анализа

Веб-приложения: тестирование на проникновение (pen-tests), в ходе которого специалисты нашей компании эмулируют действия злоумышленника, чьей целью является проникновение во внутреннюю инфраструктуру или несанкционированное получение защищаемых данных, расположенных в границах внешнего сетевого периметра.

ИТ-инфраструктура: оценка защищённости по модели «нарушитель внутри» инфраструктуры сетей LAN и DMZ, составляющих внутренний и внешний периметры сетевой инфраструктуры организации, поиск уязвимостей на рабочих станциях, терминальных устройствах, корпоративных и сервисных серверных платформах, а также баз данных.

Персонал: оценка уровня осведомлённости сотрудников в вопросах ИБ на базе проводимого анкетирования и интервью. Такая оценка также проводится с помощью методов социальной инженерии, к которым в порядке убывания эффективности относятся: фишинг, «дорожное яблоко», пре-текстинг и quid pro quo.

Прочая инфраструктура: оценка используемых технических и административных средств физической безопасности, в том числе зданий и помещений, где хранится и обрабатывается информация. Помимо оценки угроз проникновения и рисков преодоления физических мер контроля проводится изучение и анализ средств инженерных сооружений, обеспечивающих доступность и непрерывность функционирования вычисли-тельной техники и хранилищ информации.

В ходе и для целей анализа защищённости информационных систем существует два варианта оценки, каждый из которых нацелен на изучение способности организации поддерживать непрерывную деятельность при возникновении кибер-инцидента и предоставляет анализ с той или иной степенью уверенности о состоянии защищённости информационных систем на соответствие специальным требованиям, внутренним политикам, международным стандартам и лучшим мировым практикам. 

Оценка уязвимостей (иначе — VA, Vulnerability Assessment)

Тестирование на проникновение (иначе — Pentest, Penetration testing)

Оценка уязвимости и тестирование на проникновение — это два разных метода тестирования, которые отличаются степенью детализации результатов и конкретными параметрами, подвергающимися изучению в процессе выполнения работ.

VA (оценка уязвимостей) Pentest (тестирование на проникновение)
Отчеты Комплексный отчёт о выявленных уязвимостях, о нарушенных процессах управления, включающий рекомендации по устранению изъянов и повышения уровня защищённости. Конкретный отчёт о проникновении, об изъянах в архитектуре ИБ, уязвимых системах и скомпрометированных данных с точечными и системными мерами по устранению.
Метрики Выявляет все известные на момент проведения проверки уязвимости, которые могут быть применены к информационному окружению. Позволяет обнаружить неизвестные уязвимости, не ограничиваясь исключительно программными или аппаратными изъянами, используя в том числе несовершенство системного подхода и социотехнические методы проникновения.
Ценность Обнаруживает уже скомпрометированные системы и определяет круг однозначно уязвимых систем. Вносит корректировки по управлению техническими и бизнес-процессами, исключающими появление уязвимостей в будущем. Предлагает упреждающие профилактические меры, применяемые для существенного снижения ущерба от воздействия на протестированные системы. Точечная корректировка технических процессов и системного подхода для устранения выявленных уязвимостей.
Уверенность Разумная степень уверенности. Высокая степень уверенности, применимая к системам, охваченным исследованием.

Методика пентеста

Работы по анализу защищенности проводятся с использованием метода черного ящика (BlackBox) в соответствии с собственной методикой Baker Tilly и с учетом международных стандартов и лучших практик:

  • Penetration Testing Execution Standard (PTES);
  • NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment;
  • Open Source Security Testing Methodology Manual;
  • Information Systems Security Assessment Framework;
  • Web Application Security Consortium (WASC) Threat Classification;
  • Open Web Application Security Project (OWASP) Testing Guide;
  • Common Vulnerability Scoring System (CVSS).

Анализ защищенности проводится как с использованием инструментальных средств, так и вручную опытными экспертами. В ходе работ применяются эксплоиты и инструменты, не доступные в открытом доступе, и специализированные средства эксплуатации уязвимостей, разрабатываемые экспертами Baker Tilly.

Развитие атаки с использованием полученных привилегий и перечисленных выше методов, производится вплоть до получения доступа к ЛВС либо до исчерпания всех доступных на момент тестирования методов атак.

Ход работ по проведению анализа защищённости.

Ход работ по проведению анализа защищённости.

Расследование инцидентов

Результаты расследования инцидента информационной безопасности позволяют установить обстоятельства, причины и условия совершения инцидента информационной безопасности. В рамках расследования определяется степень воздействия конкретных компьютерных информационных систем, а также действий или бездействий персонала, причастных к инциденту. Это даёт возможность восстановить максимально точную хронологию событий и воссоздать последовательность и системный проект действий злоумышленников.

Цели расследования

  • Подтверждение или опровержение факта инцидента.
  • Локализация и ликвидация последствий инцидента.
  • становление виновных лиц, их мотивации, обеспечение возможности привлечения к ответственности;
  • Анализ инцидента и принятие мер по предотвращению подобных инцидентов в будущем;
  • Минимизация последствий и снижение рисков, возникших в результате инцидента;
  • Внедрение и совершенствование процессов эффективного реагирования на инциденты.

Методика расследования

При проведении проведения расследования специалисты компании проводят как минимум следующие виды работ:

Компьютерно-технический анализ исходных материалов и электронных свидетельств: образы жёстких дисков, лог-файлы, журналы действий и событий, дампы оперативной памяти и сетевого трафика на момент фиксации инцидента, письменные объяснения персонала по предпринятым действиям, имевших отношение к инциденту.

Идентификация всех скомпрометированных объектов и вероятных субъектов, имевших отношение к инциденту.

Cбор данных о взаимосвязях идентифицированных объектов расследования с другими элементами ИТ-инфраструктуры.

Реверс-инжиниринг выявленного вредоносного ПО и определение способов и механизмов проникновения. Воссоздание общесистемного проекта вредоносного ПО, алгоритмов работы на уровне распространения в сети и влияния на ОС.

Фиксирование этапов атаки, определение источников атаки, последовательности действий вероятных злоумышленников, степени вовлечённости информационных систем, информационного окружения и персонала Заказчика.

An independent member of Baker Tilly International