Home Blog Записки аудитора: аудит в условиях непрерывного пентеста

Записки аудитора: аудит в условиях непрерывного пентеста

by Denis Makrushin
1.1K views

Метод проведения аудита в условиях непрерывного пентеста

Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.

Информационный поток, содержащий результаты деятельности персонала, ответственного за проведение тестов на проникновение, состоит из данных, которые несут «полезную нагрузку» разной степени важности:

  • особенности сетевой инфраструктуры, выявленные на этапе инвентаризации;
  • обнаруженные уязвимости, имеющие разную степень критичности и «среду обитания»;
  • недостатки конфигурации;
  • скомпрометированные учетные записи;
  • вектора проникновения и закрепления во внутренней сети;
  • подозрительные узлы и сервисы, которые показались пентестеру уместными в итоговом отчете.

Каждый из вышеперечисленных пунктов можно отнести к различным моделям OSI, присвоить определенный уровень критичности (причем, сразу по нескольким «шкалам уязвимостей») – в общем, тем или иным образом классифицировать. Причем, процедура классификации может осуществляться по мере поступления новой информации и тем самым позволяет аудитору действовать синхронно с пентестерами.

Все множество уязвимостей и недостатков конфигурации можно отнести к «Внешнему периметру» или «Внутренней сети». В каждом из этих подмножеств можно ввести классификацию, которая проиллюстрирована на рисунке.

Информация об уязвимости проходит путь от общих категорий к более точным, попадая в «корзинки»: «Уязвимости или недостатки конфигурации», «Сетевое оборудование» и «Скомпрометированные учетные записи». Данная обработка поступающей от пентестеров информации позволит в реальном времени распределять уязвимости по типам, тем самым сэкономив время при формировании итоговых результатов. Если по каким-либо причинам эта схема не учитывает тот или иной факт, то прошу читателя не стесняться и приводить примеры исключительных ситуаций для обсуждения и совместного дополнения.

Leave a Comment

You may also like