Системы управления, связи и безопасности 4. 2020 Systems of Control, Communication and Security
 Скачать 1.07 Mb.
|
|
Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 44 УДК 004.056 Анализ стандартов и методик тестирования на проникновение Макаренко С. И., Смирнов Г. Е. Актуальность. В настоящее время вопросы безопасности информационных систем объек- тов критической информационной инфраструктуры приобретают важное значение. Вместе с тем текущие задачи аудита информационной безопасности (ИБ) объектов критической информацион- ной инфраструктуры, как правило, ограничиваются проверкой их на соответствие требованиям по ИБ. Однако при таком подходе к аудиту, зачастую, остается неясным устойчивость данных объ- ектов к реальным атакам злоумышленников. Для проверки такой устойчивости объекты подверга- ют процедуре тестирования, а именно – тестированию на проникновение. Анализ отечественных публикаций в этой области показывает, что в отечественной практике отсутствует какой-либо системный подход к проведению тестирования на проникновение. В связи с этим актуальным явля- ется анализ и систематизация лучших зарубежных подходов и практик к проведению тестирова- ния. Целями работы является сравнительный анализ существующих зарубежных и отечественных методик и стандартов тестирования на проникновение. Результаты. В статье представлены ре- зультаты анализа следующих зарубежных стандартов и методик: OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, PTF, а также отечественной методики Positive Technologies. Элемен- тами новизны работы являются выявленные особенности, достоинства, недостатки и рамки при- менимости существующих стандартов и методик тестирования на проникновение. Практическая значимость. Материал статьи может использоваться для формирования исходных данных, после- довательности этапов и их содержания, при практическом аудите безопасности информационных систем объектов критической инфраструктуры путем тестирования на проникновение. Ключевые слова: тестирование на проникновение, стандарт, методика, аудит, информаци- онная безопасность, критическая инфраструктура, информационно-техническое воздействие, ин- формационно-психологическое воздействие, OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, PTF, Positive Technologies. Введение В 2017 г. в России был принят федеральный закон № 187-ФЗ «О безопас- ности критической информационной инфраструктуры Российской Федерации». Данный закон устанавливает перечень объектов и субъектов, относящихся к критической информационной инфраструктуре (КИИ) РФ, а также обязует специ- альные службы разработать комплекс мер направленных на аудит состояния ин- формационной безопасности (ИБ) объектов КИИ и обеспечения ее защищённости. В подавляющем числе случаев аудит ИБ объектов КИИ проводиться на основе сравнительного анализа с нормативно-правовой документацией, регла- ментирующей обеспечение ИБ, или на основе анализа рисков. Вместе с тем, в предыдущих работах авторов [1, 2] указывается на необходимость формирова- ния еще одного типа практического подхода к аудиту, а именно – аудита на ос- нове экспериментальных исследований системы или ее прототипа. Данный тип Библиографическая ссылка на статью: Макаренко С. И., Смирнов Г. Е. Анализ стандартов и методик тестирования на проникновение // Системы управления, связи и безопасности. 2020. № 4. С. 44-72. DOI: 10.24411/2410-9916-2020-10402. Reference for citation: Makarenko S. I., Smirnov G. E. Analysis of penetration testing standards and methodologies. Systems of Control, Communication and Security, 2020, no. 4, pp. 44-72 (in Russian). DOI: 10.24411/2410-9916-2020-10402. Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 45 аудита, проводится с применением против системы средств или способов ин- формационных воздействий с целью практической проверки эффективности технических или организационных мер защиты, а также выявления новых уяз- вимостей системы. В некоторых работах, например, таких как [3-9], для такого подхода используется термин «тестирование на проникновение» (в англоязыч- ной литературе – «penetration testing»), а также другие термины «активный аудит», «инструментальный аудит» и др., но при этом суть подобного практи- ческого подхода к аудиту не меняется. Таким образом, можно говорить о том, что одним из перспективных направлений практического аудита ИБ объектов КИИ является реализации в отношении них тестов на проникновение – воздействие на объект тестовых ин- формационно-технических воздействий (ИТВ) и тестовых информационно- психологических воздействий (ИПВ), аналогичных реальным ИТВ и ИПВ, ко- торые с высокой степенью вероятности могут использоваться злоумышленни- ками. Несмотря на то, что такое тестирование представляет собой достаточно адекватный и максимально приближенный к реальности подход к оценке за- щищенности, он не получил широкого распространения. Основными причина- ми этого, на взгляд авторов, является отсутствие единой общепризнанной ме- тодики проведения тестирования на проникновение, критериев выбора ИТВ и ИПВ, для такого тестирования, а также критериев оценки его результатов. Целью статьи является: сравнительный анализ существующих методик и стандартов тестирования на проникновение, их особенностей, достоинств, не- достатков и рамок применимости. Результаты представленного в статье анализа, в дальнейшем, авторы пла- нируют использовать для разработки теоретических основ тестирования на проникновение, критериев оценки эффективности тестов, моделей уязвимости объектов КИИ к тестовым ИТВ и ИПВ. 1. Базовая терминология и классификация тестовых воздействий Введем базовую терминологию, которую будем использовать в дальнейшем. Объект – информационная система, информационно-телекоммуни- кационная сеть, автоматизированная система управления, в отношение которых проводится аудит ИБ. Тестирование – проверка выполнения требований к объекту при помощи наблюдения за его работой в конечном наборе специально выбранных ситуаций [2]. Тест – отдельное мероприятие по исследованию объекта или способ изу- чения процессов его функционирования [2]. Информационно-техническое воздействие – воздействие на информаци- онный ресурс, информационную систему, информационную инфраструктуру, на технические средства или на программы, решающие задачи формирования, передачи, обработки, хранения и воспроизведения информации, с целью вы- звать заданные структурные или функциональные изменения [2]. Тестовое информационно-техническое воздействие – воздействие на ин- формационный ресурс, информационную систему, информационную инфра- структуру, на технические средства или на программы, решающие задачи фор- Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 46 мирования, передачи, обработки, хранения и воспроизведения информации, с целью выявить уязвимости объекта на которое производится воздействие [2]. Информационно-психологическое воздействие – информационное, психо- тронное или психофизическое воздействие на психику человека или группы людей, оказывающее влияние на восприятие ими реальной действительности, в том числе на их поведенческие функции, а, в некоторых случаях, и на функци- онирование органов и систем человеческого организма [2]. Тестовое информационно-психологическое воздействие – информацион- ное, психотронное или психофизическое воздействие на психику человека или группы людей, оказывающее влияние на восприятие ими реальной действи- тельности, в том числе на их поведенческие функции, а, в некоторых случаях, и на функционирование органов и систем человеческого организма, с целью вы- явить уязвимости объекта на которое производится воздействие [2]. Тестирование на проникновение – экспериментальная проверка с целью оценивания состояния ИБ и выявления уязвимостей объекта тестирования (те- стируемой системы) путем интегрального и целенаправленного применения против него специальных средств и способов ИТВ и ИПВ [2]. Ущерб – эквивалентная стоимость всех видов потерь (финансовых, репу- тационных, материальных и пр.), которые понесет объект или его владелец в результате инцидента. Инцидент – факт нарушения свойств ИБ в процессах формирования, пе- редачи, обработки, хранения и воспроизведения информации на объекте и/или прекращение функционирования объекта, в том числе произошедшее в резуль- тате воздействия ИТВ или ИПВ. Уязвимость – недостаток объекта, эксплуатация которого делает возмож- ным реализацию инцидента, нанесение объекта повреждений любой природы, либо снижение эффективности его функционирования. Эксплойт – потенциально безвредный набор данных или последователь- ности действий, которые некорректно обрабатывается информационной систе- мой, вследствие ошибок в ней. Результатом некорректной обработки такого набора данных или последовательности действий может быть переход объекта в уязвимое состояние. Общая классификация мероприятий, способов и средств ИТВ и ИПВ, ко- торые могут быть использованы при тестировании на проникновение, пред- ставлены на рис. 1-2. В рамках тестирования на проникновение должны реализовываться сце- нарии поэтапного интегрального применения средств и способов ИТВ и ИПВ, которые с высокой степенью вероятности будут применяться реальными зло- умышленниками, что позволит провести всеобъемлющий анализ уязвимостей тестируемых объектов, а также сформировать предложения по совершенство- ванию системы защиты. Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 47 Информационно-технические воздействия По виду Одиночные Групповые По типу Разрушающие Манипулирующие Блокирующие По цели использования Высокоточные Комплексные По ориентированности на свойства информационной безопасности Нарушение целостности информации Нарушение доступности информации Психологические воздействия на пользователей информационной системы По характеру поражающих свойств Атакующие Обеспечивающие Разведка Воздействия для преодоления систем защиты Техническая разведка Компьютерная разведка в телекоммуникационной части информационного пространства Разведка на основе открытых источников в семантической части информационного пространства Комбинированные Нарушение конфиденциальности информации Пассивные Активные Перехват Несанкционированный доступ Оборонительные Контратакующие Отвлекающие Отвлекающие на ложные информацион- ные ресурсы Противодействие обеспечивающим воздействиям Блокирующие Выявляющие Отвлекающие По способу реализации Алгоритмические Программные Аппаратные Физические Электромагнитные Радиоэлектронные Оптико-электронные Электрические Оптические Акустические Гидро-акустические Радиационные Химические Биологические На основе новых и других физических принципов Рис. 1. Классификация ИТВ, которые могут быть использованы при тестировании на проникновение [2] Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 48 Средства и способы информационно-психологического воздействия Средства и способы психотронного воздействия Убеждение Внушение Лазерные средства ослепления Средства сомато- психологического воздействия Средства психотропного воздействия Психотропные средства Другие биологически активные вещества Информационные средства и способы Генераторы электромагнитных излучений Генераторы инфразвука и ультразвука Световые излучатели Лазерные излучатели голограмм и образов Компьютерные технологии Компьютерные игры Средства дополненной реальности Средства виртуальной реальности Средства и способы психофизического воздействия Средства и способы предъявления неосознаваемой акустической информации Средства и способы предъявления неосознаваемой зрительной информации Средства и способы предъявления неосознаваемой комбинированной информации Способы гипнотического воздействия Способы нейро-лингвистического програмирования Тренинговые способы воздействия Мистико-эзотерическое внушение «Феноменологические» способы Средства обездвижения людей Средства постановки «психологических заграждений» Биологические средства нелетального действия Экологические средства нелетального действия Средства Рекламные акции, шоу, выступления Средства массовой информации Когнитивное оружие Радио Способы Способы подачи информации Способы модификации информации Способы манипуляции сознанием Споосбы повышаюшие эффективность усвоения информации Дезинформация Сокрытие информации Споосбы повышаюшие эффективность сокрытия информации Ограниченное предоставление информации Споосбы формирования отношения к восприятию информации Способы манипуляции поведением Споосбы формирования отношения источнику информации Комплексные средства и способы воздействия Интернет-ресурсы Социаль- ные сети ТВ Пропаганда Печать Рис. 2. Классификация ИПВ, которые могут быть использованы при тестировании на проникновение [2] Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 49 2. Анализ актуальных отечественных работ в области тестирования на проникновение Практическим вопросам оценки состояния ИБ объектов путем их тести- рования посвящены отечественные работы Климова С. М. [11, 12], Петрен- ко А. А., Петренко С. А. [13], Маркова А. С., Цирлова В. Л., Барабанова А. В. [4], Скабцова Н. [5], Бойко А. А. [14-16], Храмова В. Ю. [15-17], Щеглова А. В. [16, 17], Дьяковой А. В. [14, 15], Макаренко С.И. [1, 2]. Теоретическим вопро- сам развития тестирования, как средства контроля состояния ИБ объектов по- священы работы Пакулина Н. В., Шнитмана В. З., Никешина А. В. [18], Аве- тисяна А. И., Белеванцева А. А., Чукляева И. И. [41] и Макаренко С.И. [2]. В работах Барановой Е.К. [19, 20], Бегаева А.Н., Бегаева С.Н., Федото- ва В.А. [21], Богораза А. Г., Песковой О. Ю. [22], Дорофеева А. [23], Умницы- на М. Ю. [24], Бородина М. К., Бородиной П. Ю. [25], Полтавцевой М. А., Пе- ченкина А. И. [26], Кадана А. М., Доронина А. К. [27], Еременко Н. Н., Коко- улина А. Н. [28], Туманова С. А. [29], Кравчука А. В. [30], Горбатова В. С., Мещерякова А. А. [31], рассматриваются именно такие практические способы оценивания защищённости информационных систем, как тестирование на про- никновение или «penetration testing». В некоторых работах, такой тип тестиро- вания указан под наименованием «инструментальный аудит». Анализ вышеуказанных работ показал следующее. Работы, посвященные вопросам экспериментального тестирования реальных информационных си- стем, рассматривают такие способы и сценарии исключительно как «тестиро- вание на проникновение» или как «инструментальный аудит», при этом прове- дение такого типа аудита в отечественной практике не регламентируется каки- ми-либо общепринятыми руководящими документами или методиками тести- рования. В некоторых отечественных работах по тестированию на проникнове- ние рекомендуется делать акцент на необходимости выявления наиболее «зре- лищных» уязвимостей или тех уязвимостей устранение которых принесет мак- симальные экономические выгоды компании, выполняющий аудит. Таким образом, можно сделать вывод, что дальнейшее развитие отече- ственной теории и практики тестирования на проникновение должно опираться на уже известные методики и стандарты проведения подобного типа тестирова- ния, которые уже разработаны, преимущественно, за рубежом. 3. Анализ стандартов и методик в области тестирования на проникновение В международной практике, проведение тестов на проникновение регла- ментируется стандартами и методиками, которые регламентируют этапы тести- рования, порядок испытаний тестируемых объектов, порядок взаимодействия аудитора с заказчиком и т.д. К широко распространенным зарубежным стан- дартам и методикам относятся: 1) методика OSSTMM – The Open Source Security Testing Methodology Manual [32]; 2) методика ISSAF – Information System Security Assessment Frame- work [33]; Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 50 3) методика OWASP – Open Web Application Security Project [34]; 4) стандарт PTES – Penetration Testing Execution Standard [35]; 5) стандарт NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment [36]; 6) методика BSI – Study a Penetration Testing Model [37]; 7) методика PETA – Methodology of Information Systems Security Penetra- tion Testing [38]; 8) методика PTF – Penetration Testing Framework [39]. К наиболее проработанным, среди оригинальных отечественных методик тестирования на проникновение, относится методика от Positive Technologies [40]. Отметим, что среди отечественных публикаций уже имеется работа [22], в которой ранее уже был представлен анализ методик тестирования на проник- новение. Данная работа была использована авторами в качестве первоосновы изложенного ниже анализа, который был существенно дополнен и расширен. |