Тестирование на проникновение финансовой организации – требования ЦБ и практика проведения

Что такое пентест?

Пентест или тестирование на проникновение – это метод оценки защищенности информационных систем за счет моделирования действий злоумышленника.

Зачем банку проводить пентест?

В первую очередь – для повышения уровня защиты своих информационных активов. Пентест показывает реальный уровень защиты информации в банке – наличие не обновленных операционных систем, прикладного ПО, средств защиты, использование стандартных или словарных паролей, отсутствие разграничений между подсетями локальной сети.

Кому и как часто необходимо проводить тестирование на проникновение?

По требованиям Положения Банка России № 382-П с 01.07.2018 г. банки должны ежегодно проводить тестирование на проникновение и анализ уязвимостей объектов информационной инфраструктуры.

Первый пентест и анализ уязвимостей банки должны были провести не позднее 31.06.2019 г. Требование вытекает из пункта 14.2 382-П, которое было введено указанием ЦБ № 4793-У от 07.05.2018 г.

Согласно пункту 3.2 Положения Банка России № 683-П в банках и НКО тестирование на проникновение также должно проводиться ежегодно.

В некредитных финансовых организациях (негосударственные пенсионные фонды, страховые компании, репозитарии, брокеры, дилеры и т.п.) согласно пункту 5.4 и пункту 6 Положения Банка России № 684-П пентест также должен проводиться ежегодно.

Какие объекты и информационные системы необходимо тестировать?

Тестировать нужно объекты информационной инфраструктуры банка или НФО, то есть информационные системы, на которых обрабатывается защищаемая информация.

Для банка это сайт, автоматизированная банковская система (АБС), система дистанционного банковского обслуживания (ДБО), рабочие места для обмена с платежными системами, АРМ КБР, процессинг и т.п.

Для НФО это личный кабинет, системы учета финансовой информации (1С и т.п.), шлюзы с внешними системами. Подробности можно найти в разъяснении Банка России для организации НАПФ по применению 684-П.

Какие требования предъявляются к организации, которая проводит пентест?

В первую очередь сотрудники, проводящие тестирование на проникновение, должны быть компетентными. Это относится как к сотрудникам банка или НФО, так и к сотрудникам системных интеграторов.

Банки и НФО могут проводить тестирование на проникновение самостоятельно, если имеют необходимые инструменты и компетенцию. В Положениях Банка России нет требований об обязательном привлечении внешнего исполнителя для проведения тестирования на проникновение.

Если для проведения пентеста привлекается внешняя компания, то у нее должна быть лицензия ФСТЭК России на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79.

Какие требования к пентесту предъявляет Банк России?

Некоторые банки для получения положительной оценки за пункт 14.2 Положения 382-П самостоятельно проводят только инструментальное тестирование на проникновение и только внешних ресурсов. При этом внутреннее тестирование не проводится, в модели угроз внутренний нарушитель не рассматривается.

Стоит учесть, что представитель надзорного подразделения Банка России на XII Уральском форуме по информационной безопасности финансовой сферы в Магнитогорске заявил об ошибочности такого подхода. Представители Банка России неоднократно заявляли, что требования по проведению тестирования на проникновение введены, чтобы проверить и по итогам повысить уровень защиты информационных активов банка. Для этого требуется проводить как внешнее, так и внутреннее тестирование на проникновение.

Как проводится тестирование на проникновение?

Используются методики их российских и зарубежных стандартов:

РС БР ИБСС-2.6-2014

NIST SP800-115

PCI Data Security Standard (PCI DSS) 3.0

PTES (Penetration Testing Execution Standard) Technical Guideline

Пентест может проводиться методом "белого", "серого" или "черного" ящика в зависимости от предоставленной заказчиком информации о тестируемой системе. Наша компания обычно проводит тестирование на проникновение методом "серого" ящика в условиях неполных знаний о проверяемых системах.

"Нулевой этап" тестирования - это сбор информации об информационных системах банка, используемых операционных системах, программном обеспечении, протоколах, сетевом оборудовании.

Первым этапом проводится внешнее тестирование публичных сервисов Банка доступных из сети Интернет. Перечень ресурсов, время тестирования и критичность ресурсов оговариваются заранее.

Затем проводится внутреннее тестирование. Моделируются действия внешнего злоумышленника, уже попавшего во внутреннюю сеть банка (или внутреннего злоумышленника с минимальными правами). Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка.

Третий этап - ручная верификация уязвимостей и оформление отчета. Некоторые критичные уязвимости могут устраняться банком в ходе тестирования.

По согласованию с заказчиком тестирование также может проводиться методам социальной инженерии.

Отчет о тестировании на проникновение содержит:

• Резюме для руководства, в котором описано, к чему может привести эксплуатация, обнаруженных уязвимостей
• Перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS)
• Перечень скомпрометированных IP и учетных записей, техническое описание способов эксплуатации уязвимостей
• Рекомендации по устранению уязвимостей - перечень необходимых программно-аппаратных средств и организационных мер

Какие инструменты используются при проведении пентеста?

При тестировании на проникновение используются следующие инструменты:

• dnsenum
• dnsmap
• dnsrecon
• dnstracer
• dnswalk
• FindDomains
• HostMap
• URLcrazy
• theHarvester
• Nmap
• OpenVAS
• Wireshark
• tcpdump
• The Metasploit Framework
• Kali linux
• THC Hydra
• Cain&Abel
• Zed App Proxy
• Intercepter NG

Сложно ли получить несанкционированный доступ внутреннему злоумышленнику в банке?

Практика проведения тестирований показала, что в 100% случаях внутренний злоумышленник, обладая высокой квалификацией, получает несанкционированный доступ к АБС, ДБО или иным критичным информационным системам.

Статистика нарушений информационной безопасности по итогам проведения пентестов по Положению 382-П в банках:

• использование открытых протоколов передачи данных – 100%
• использование не поддерживаемых версий ОС, end-of-life (например, Windows XP, Windows Server 2003) - 100%
• несвоевременное обновление ПО (ОС, прикладное ПО) - 85,7%
• использование словарных паролей (например, "1", "123456", "user", "password" - 57,1%
• хранение чувствительных данных в открытом виде (файл с паролями на рабочем столе) - 28,6%
• использование учетных записей с паролями «по умолчанию» (например, к сетевому оборудованию, АБС, СУБД) - 28,6%