免責事項
この記事は、著者の個人的な経験と意見を反映しており、コミュニティが議論することを奨励するために書かれています。 ここでは名前は呼び出されず、だれも指さしません。
私たちは、情報セキュリティの分野における現代のロシアのサービス市場の問題と考えているものに注意を払おうとします。
はじめに
読者が背景を理解するために、背景から始めることにしました。 この記事は、情報セキュリティアナリスト(私)と侵入テストの専門家(同僚のInfiniteSuns )によって書かれました。
顧客と仕事をするとき、私たちは体系的に私たちが提供するサービスの本質の理解不足に直面しています。 多くの場合、この誤解は、これらのサービスを提供した会社から顧客に転送されたという事実によって引き起こされます。 内部のペンテスト中に、特権の増加と、顧客が提供するオフィスマシンのセキュリティ対策の廃止により、ISサービスの責任者が当惑しました。
さらに、議論の中で、その前に、「pentest」という名前で、顧客がパラメーター「--script vuln」とともに「nmap」を使用して内部ネットワークのスキャンを販売したことが判明しました。 当然のことながら、再び顧客はそのような振る舞いをペンテスターに期待し、彼らが自分のドメインコントローラーを奪い始めたとき、本当に驚きました。
時には、別の段階として作業を行う際に、以前の調査で特定された脆弱性の排除に対する制御が選ばれることがあります。 また、このために、顧客がこの非常に以前の調査に関するレポートを提供することもあります。 このようなレポートを見ると、市場の同僚の機知に驚くことがあります。
自動脆弱性スキャンは、少なくともペンテストとして、少なくともセキュリティ分析として販売されることがあります。 このような状況では、顧客から「美しい私たちをハックしてください」というようなことを聞いても驚くことではありません。 ある時点で、私たちはこれに最初に気づいたのではないことに気付きました。
私たちは質問を考えて読者に任せます-なぜ注文されたサービスとその結果の明確な理解がないのですか? 情報サービス市場の参加者の能力不足のため? それとも、複雑で高価なものを装って、よりシンプルなサービスを販売し、意図的に顧客を鼻で駆動しますか?
2つのオプションのいずれも私たちを満足させないので、私たちは自分のビジョンを共有したいという気持ちを感じ、実用的な情報セキュリティサービスのための小さなチートシートを作りました。
チートシート
仕事の種類
5つの異なる作品を見てみましょう。- 侵入テスト
- レッドチーム評価
- セキュリティ分析
- 脆弱性スキャン
- セキュリティ監査(監査)
便宜上、上記の作業に関するすべての情報を2つのレベルに分けました。- 基本(記事の本文内)
- 上級(詳細を知りたい人のためにネタバレの下に隠されています)
「キーレベル」は、次のキーポイントに対応しています。「高度なレベル」では、次の重要なポイントに対応しています。- タスクの例
- 目標を達成するための方法
- 作業計画
- 完了基準
侵入テスト
目的:潜在的なターゲットを攻撃する侵入者の試みにインフラストラクチャセキュリティの現在のレベルが耐えられるかどうかを判断します。
タスクを達成する。 同時に、検出された脆弱性の完全性の問題はそれだけの価値はありませんが、攻撃ベクトルに関係するすべての脆弱性が反映されます。
フォーカス:調査の深さは幅よりも重要です。
ISの成熟レベル:中から高。
結果:攻撃者によるハッキング(侵入)および情報取得の事実および/または確率。
拡張情報:タスクの例:- 顧客、顧客の資金、その他のデータに関する情報への不正アクセスを取得します。
- オフィスセグメントから、稼働中のサーバーがある「戦闘」セグメントに侵入します。
- 特定のサービスの可用性を破壊します。
- 特定の権限でファイルシステムにアクセスします。
- バージョン管理システムからソフトウェアのソースコードを侵害します。
目標を達成するための方法:顧客が設定した制限を満たすすべての利用可能な方法とツール(ソーシャルエンジニアリング、ブルートフォース攻撃など)。 研究者は、目標を達成するための最短かつ安価な方法を探しています。
完了基準:プロジェクトは、目標が達成されたとき、またはプロジェクトの時間の後に終了します(多くのベクトルが考慮される場合)。
作業計画:- オブジェクトに関する予備情報を取得します(利用可能なすべての情報ソースが使用されます)。
- ネットワークのマッピング、外部の影響への反応によるデバイス、オペレーティングシステム、サービス、アプリケーションの種類とバージョンの決定。
- ネットワークサービス、サービス、およびアプリケーションの脆弱性を特定します(目標の達成に寄与する脆弱性の検出によるWebアプリケーションの基本的な分析を含む)。
- 内部および外部リソースの脆弱性を分析するため。
- 適切な攻撃シナリオを準備します。 ソーシャルエンジニアリングおよび/またはサービス拒否攻撃に関連する攻撃を実行します(同意した場合)。
- 貫通する。
レッドタイム
目的:組織が実際の攻撃をどれだけうまく検出して耐えられるかを判断/測定します。 さらに、検出された脆弱性の完全性の問題は価値がありません。 脆弱性にのみ関心があり、その悪用は組織の侵害に役立ちます。
Advanced Persistent Threatに立ち向かう組織の取り組みを改善します。
組織へのリスクをより現実的に理解してください。
フォーカス: Advanced Persistent Threatと同じ方法で悪意のあるアクションをシミュレートすることがより重要です。
ISの成熟レベル:高。
結果:実際の攻撃に対抗する組織の情報セキュリティサービスの能力の確認。
拡張情報:タスクの例:- 可能な限り目に見えないように、組織の境界を突き抜け、可能な限りの方法で機密情報にアクセスします。
- 物理的、ハードウェア、ソフトウェアの脆弱性、および実際の攻撃者からの社会的影響に対する脆弱性を特定します。
目標を達成するための方法:ソフトウェア、機器、人、およびオブジェクトに対するマルチコンポーネントおよび包括的な攻撃を目的としたすべての利用可能な方法とツール。
完了基準:プロジェクトは、顧客の要求、またはプロジェクトの期間満了のいずれかで終了します。
作業計画:- 作業計画は、顧客のビジネスプロセスに完全に依存します。
- 侵入テスト、社会技術調査、物理的セキュリティテスト(オフィス、倉庫など)の作業計画が含まれます。
セキュリティ分析
目的:情報の機密性、完全性、可用性の侵害につながる可能性のある既知の潜在的な脆弱性と弱点をすべて見つけます。
セキュリティレベルの向上に関する推奨事項を策定する。
焦点:調査の幅は深さよりも重要です。
IS成熟度レベル:低から中。
結果:検出された脆弱性と脆弱性の最も完全なリスト。
拡張情報:タスクの例 :ハードウェアおよびソフトウェアシステム、Webアプリケーション、リモートバンキング、モバイルアプリケーションなど、ITリソースの包括的な分析を実施します。
目標を達成するための方法:ブラック/ホワイト/グレーボックスの調査、ソースコードの分析、構造の分析、機能、使用されている技術、発見された脆弱性の確認。
完了基準:宣言されたすべてのサブシステムにすべてのタイプの脆弱性が存在するかどうかのチェックが完了すると、プロジェクトは終了します。
作業計画:- セキュリティ分析に使用するのに適した方法を定義します。
- 必要に応じて、脅威モデルと侵入者モデルを作成します。
- 特定の種類の脆弱性の自動および手動チェックを実施します(誤検知を遮断し、自動化された手段で検出されない脆弱性を特定します)。
- 脆弱性を調査して、可用性と悪用を確認します。
- 多数の最も重大な脆弱性を利用します(同意済み)。
脆弱性スキャン
目的:組織の情報システムのすべての既知の脆弱性を見つけて評価します。
組織の情報セキュリティの状態を定期的に維持および更新します。
焦点:調査の幅は深さよりも重要です。
IS成熟度レベル:低から中。
結果:検出された既知の脆弱性の最も完全なリスト。
拡張情報:タスクの例:- 組織の外部ネットワーク境界をスキャンして、脆弱なサービスを探します。
- 組織の外部ネットワーク境界上のサービスの開いているポートの変更を調べます。
- 脆弱なサービスの内部境界をスキャンします。
- Webアプリケーションコンポーネントの既知の脆弱性の分析。
目標を達成するための方法:- 選択したツールに応じた自動チェック。
- 自動チェックの結果の研究者および/またはアナリストによる処理および誤検知の排除
完了基準:プロジェクトは、自動化ツールによって提供されるすべてのチェックが完了すると終了します。
作業計画:- 自動スキャンに適したツールを特定します。
- 機器のチェックを実施する
- テスト結果の手動分析を実行します(誤検知の除去)
セキュリティ監査
目的:情報システム(またはそのコンポーネント)およびプロセスが、規範的行為の要件、ベストプラクティスまたは推奨事項、機器およびソフトウェアメーカーの標準および文書にどのように準拠しているかを確認します。
焦点:要件と推奨事項へのコンプライアンスの量が重要です。
ISの成熟レベル:低から高。
結果:要件/推奨事項への準拠の結論。
拡張情報:タスクの例:- 情報システムSTO BR IBBSのコンプライアンスを確認します。
- ロシアのFSTECの注文番号21の情報システムのコンプライアンスを確認してください。
- WebサーバーがCISの推奨事項に準拠しているか確認してください。
目標を達成するための方法:選択した方法論に従った手動または自動チェック。
完了基準:方法論で規定されたすべての検査が完了すると、プロジェクトは終了します。
作業計画:- テクニックを学習対象に適合させます。
- チェックリストを作成する
- 手動および/または自動化されたチェックを実行する