Комплексная проверка информационной безопасности сетевой инфраструктуры компаний (Аудит информационной безопасности)

Проведение проверки ИБ сетевой инфраструктуры заключается в анализе и оценке:
• уязвимостей программного и аппаратного обеспечения расположенного на рабочих станциях работников организации;
• уязвимостей программного и аппаратного обеспечения расположенного на серверном оборудовании организации;
• уязвимостей сетевых сервисов организации (WEB, DNS, базы данных и т.п.)
• уязвимостей сетевого оборудования организации (коммутаторы, маршрутизаторы);
• эффективности имеющихся технических средств обеспечения ИБ сетевой инфраструктуры;

Преимущества проведения проверки ИБ сетевой инфраструктуры:
• возможность получить независимую оценку состояния ИБ сетевой инфраструктуры организации;
• основываясь на результатах проверки, обосновать размер необходимых вложений в обеспечение безопасности сетевой инфраструктуры на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности сетевой инфраструктуры с потенциальным ущербом и вероятностью его возникновения
• разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях.
• использовать результаты проверки для совершенствования внутренних документов, регламентирующих взаимоотношения подразделений организации в плане обеспечения ИБ (бизнес-процессы, положения, процедуры, инструкции, регламенты и т.)

Предварительная подготовка.
Работы выполняются в несколько этапов, программа проверки ИБ сетевой инфраструктуры организации определяется по согласованию с заказчиком.

1. Постановка задачи и определение объекта проверки.
• определение задач, целей и объектов проверки ИБ;
• формирование рабочей группы (включая специалистов заказчика);
• составление регламента проведения работ;
• разработка технического задания (ТЗ) на проведение работ.

2. Сбор, подготовка и анализ данных для проведения работ:
• изучение объекта исследования;
• выявление технических уязвимостей объекта исследования;
• анализ эффективности имеющихся программно-технических средств обеспечения ИБ;
• фиксация текущего состояния и характеристик объекта исследования;

3. Подготовка аналитического отчета по выполненной работе, включая:
• выявление уязвимостей в сетевой инфраструктуре;
• анализ уязвимостей;
• разработка предложения по совершенствованию организационных мер обеспечения ИБ;
• разработка предложения по развитию программно-технических средств обеспечения ИБ;
• разработка рекомендаций по устранению выявленных уязвимостей;
• разработка рекомендаций по повышению квалификации штатного персонала;

4. Завершение работы:
• ознакомление уполномоченных представителей заказчика с результатами работы;
• консультирование персонала заказчика;
• передача полученных материалов и документации заказчику и сдача отчета;
• оформление акта выполненных работ.

Детализация этапов проверки проводится рабочей группой экспертов и представителей заказчика на этапе подготовки технического задания. Подробный перечень объектов аудита, их характеристики, сроки работ, согласование промежуточных результатов, предотвращение выявленных критических ситуаций и прочие условия выполнения работ предусматриваются в ТЗ, утверждаемом сторонами до начала последующих этапов.

Методика проверки
Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.

Основные цели проведения тестов на проникновение:
• поиск уязвимостей, позволяющих произвести атаку на сетевую инфраструктуру;
• определение защищенности сетевой инфраструктуры;
• актуальность применяемых методов защиты информации от несанкционированного воздействия;
• регулярный контроль изменений в сетевой инфраструктуре;
• проверка на соответствие требованиям международных стандартов и нормативных документов в сфере информационной безопасности.

Основные задачи проведения тестов на проникновение:
• оценка текущего состояния ИБ;
• выявление уязвимостей сетевой инфраструктуры их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;
• разработка рекомендаций по повышению эффективности защиты информации в сетевой инфраструктуре;
• подготовка данных для проведения комплексного аудита информационной безопасности.

Объектами тестирования являются: внешние и внутренние серверы, внешнее и внутреннее сетевое оборудование, отдельные сервисы, рабочие станции пользователей, сетевые принтеры.

Виды тестов на проникновение:
Тест на проникновение из сети Интернет (из внешней сети)
• тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP-адресов серверов, внешнего сетевого оборудования или перечень конкретный внешних сервисов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
• тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, файлы конфигурации, схемы структуры сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру сетевой инфраструктуры, знаком со схемами организации сети, возможно, даже имеет доступ к некоторым паролям;

Тест на проникновение из внутренней локальной вычислительной сети (из внутренней сети)
• тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внутренних IP-адресов серверов, внутреннего сетевого оборудования, рабочих станций пользователей, сетевых принтеров или перечень конкретный внутренних сервисов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой;
• тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, файлы конфигурации, схемы структуры сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий находится внутри сетевой инфраструктуры организации (злоумышленник либо является сотрудником организации либо злоумышленник способ проникнуть внутрь сетевой инфраструктуры из вне) и в какой-то мере знает архитектуру сетевой инфраструктуры, знаком со схемами организации сети, возможно, даже имеет доступ к некоторым паролям;

Примечание
При проведении проверки из внутренней сети заказчик предоставляет проверяющим доступ в помещения и возможность подключения их оборудования (ноутбук) в один или несколько сегментов сети заказчика, для проведения соответствующих проверок.

Работы по тесту на проникновение включают в себя ряд последовательных этапов:
• поиск и анализ всей доступной информации;
• инструментальное сканирование, предполагающее использование специализированных средств – сетевые сканеры безопасности;
• детальный анализ вручную;
• анализ и оценка выявленных уязвимостей и выработка рекомендаций;
• подготовка отчета.

Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.

Проверку проводят сертифицированные специалисты ИБ различных направлений.