Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.
Информационный поток, содержащий результаты деятельности персонала, ответственного за проведение тестов на проникновение, состоит из данных, которые несут «полезную нагрузку» разной степени важности:
- особенности сетевой инфраструктуры, выявленные на этапе инвентаризации;
- обнаруженные уязвимости, имеющие разную степень критичности и «среду обитания»;
- недостатки конфигурации;
- скомпрометированные учетные записи;
- вектора проникновения и закрепления во внутренней сети;
- подозрительные узлы и сервисы, которые показались пентестеру уместными в итоговом отчете.
Каждый из вышеперечисленных пунктов можно отнести к различным моделям OSI, присвоить определенный уровень критичности (причем, сразу по нескольким «шкалам уязвимостей») – в общем, тем или иным образом классифицировать. Причем, процедура классификации может осуществляться по мере поступления новой информации и тем самым позволяет аудитору действовать синхронно с пентестерами.
Все множество уязвимостей и недостатков конфигурации можно отнести к «Внешнему периметру» или «Внутренней сети». В каждом из этих подмножеств можно ввести классификацию, которая проиллюстрирована на рисунке.
Информация об уязвимости проходит путь от общих категорий к более точным, попадая в «корзинки»: «Уязвимости или недостатки конфигурации», «Сетевое оборудование» и «Скомпрометированные учетные записи». Данная обработка поступающей от пентестеров информации позволит в реальном времени распределять уязвимости по типам, тем самым сэкономив время при формировании итоговых результатов. Если по каким-либо причинам эта схема не учитывает тот или иной факт, то прошу читателя не стесняться и приводить примеры исключительных ситуаций для обсуждения и совместного дополнения.
