Всем привет!
В эфире «Кибердуршлаг», наша постоянная рубрика, в которой мы на примере собственных продуктов и решений рассказываем, как можно защитить ваши информационные системы и не дать им превратиться в решето уязвимостей, атакуемое хакерами разной степени продвинутости.
В этой статье наши эксперты — Паша Попов, руководитель направления инфраструктурной безопасности, и Ярослав Бабин, директор по продуктам для симуляции атак, — разбираются, что такое контролируемый автоматический пентест, как он интегрируется с процессом управления уязвимостями и как в нем применяется ИИ.
Представим процесс ручного тестирования на проникновение. Специалисты проводят разведку, анализируют полученные данные и планомерно движутся к цели — например, к получению прав доменного администратора. Мы поставили себе задачу — сделать пентесты более доступными, так как оценка защищенности через реальную практику взлома — один из самых доказательных способов..
Воспользовавшись многолетним опытом и экспертизой Positive Technologies, мы разложили множество атак на типовые векторы и разработали алгоритм для автоматического принятия решения о следующем атакующем действии. Теперь специалистам не нужно придумывать сценарии: PT Dephaze самостоятельно движется по инфраструктуре и идентифицирует цели для атаки, основываясь на обнаруженных активах и данных.
Работа продукта идентична действиям при пентесте:
Разведка: сканирование ИТ-инфраструктуры и анализ систем, доступных внутри периметра, — будь то Active Directory, вики, GitLab, Confluence и прочие классические бизнес-сервисы.
Приоритизация целей: в продукт заложена экспертиза, которая чаще всего используется пентестерами и хакерами и является ключевой для продвижения вглубь сети. Как и при ручном тестировании, главный приз — завоевание доверия службы каталогов Active Directory, поскольку права доменного администратора открывают доступ к критически важным сервисам.
Выстраивание цепочек атак: продукт автоматически ранжирует атаки, фокусируясь на Active Directory и других особо значимых активах.
Безопасность — на первом месте
Когда мы спрашиваем клиента, зачем ему автоматизированный пентест, чаще всего слышим «Мне надо, чтобы инструмент не мешал непрерывности бизнеса». Поэтому с самого начала разрабатывали решение так, чтобы оно было максимально безопасным. Мы сознательно жертвуем скоростью сканирования в пользу стабильности инфраструктуры, чтобы гарантированно не заблокировать критически важные учетки и не остановить бизнес-процессы.
Каждый эксплойт в нашем арсенале проходит тестирование в лаборатории: мы оцениваем его воздействие на сеть и возможные последствия. Любая атака, признанная потенциально опасной, потребует от пользователя ручного согласования перед запуском. Тем не менее настройки гибкие: по своему усмотрению заказчик может снять ограничения, например, для тестового контура или менее значимых сред.
В любом случае в основе нашего подхода — реальные действия хакеров: перебор паролей, переиспользование учетных данных, проверка прав доступа. Такие методы часто остаются незамеченными для систем мониторинга, так как сливаются с фоновым сетевым трафиком и не наносят вреда.
Роль автоматического пентеста в экосистеме безопасности
Для оценки киберустойчивости компании могут использовать различные инструменты, будь то классическое тестирование на проникновение, системы для моделирования атак или же, к примеру, багбаунти-программы. Как контролируемый автоматический пентест дополняет эти решения — давайте разберемся.
Автопентест и платформы для симуляции кибератак
Breach and attack simulation (BAS) — это нечто вроде театра, где заранее прописан сценарий и все актеры знают свои роли. Так, с помощью продуктов этого класса можно точечно проверить, как сработает средство защиты, к примеру, при попытке авторизации в конкретном сервисе, выполнении вредоносного кода и последующей эксфильтрации данных. Такие решения моделируют заранее подготовленные сценарии, но не умеют имитировать реальное поведение злоумышленников, проводить полноценные атаки и говорить вам об оценке защищенности инфраструктуры.
PT Dephaze — это больше чем BAS: это BAS плюс автоматическое принятие решений на основе получаемых данных об инфраструктуре. Продукт не следует жесткому сценарию, а самостоятельно выбирает, каким образом реализовать атаку для демонстрации того ущерба, который потенциально может нанести хакер.
Автоматический и ручной пентест
Благодаря своему бэкграунду и насмотренности опытные специалисты быстро отсекают малоперспективные векторы атак и идут к цели кратчайшим путем. Их действия точечны и эффективны. Исследовать постоянно меняющуюся инфраструктуру в автоматическом режиме, в свою очередь, помогает автопентест.
Инструмент работает «в ширину»: проверяет все системы и пробует найденные учетные данные в каждом сервисе, выявляя все возможные, даже маловероятные цепочки атак. В результате исправлений после работы PT Dephaze сокращается количество векторов, которыми пентестеры могут поломать инфраструктуру, — остаются более сложные и интересные задачи.
Автопентест и багбаунти
Когда компания выходит на багбаунти, то чаще всего формулирует свой запрос к сообществу белых хакеров как поиск уязвимостей в веб-приложениях и других внешних сервисах. Тем временем независимым исследователям безопасности бывает сложно оценить извне реальный импакт найденных багов. Кроме того, обычно багхантеров фиксируют на выявлении отдельных уязвимостей, а не на построении целостной картины атаки с периметра на внутренние системы, ведь не каждая компания готова предоставить доступ ко всем участкам своей ИТ-инфраструктуры.
Органично дополнить такой инструмент укрепления внешнего периметра, как багбаунти-программы, может автопентест, ориентированный на внутреннюю сеть. Он не ищет отдельные уязвимости — он сразу демонстрирует их эксплуатацию и влияние на бизнес: куда можно прорваться с помощью найденных учеток, какие данные можно похитить или работу каких систем остановить.
Как автопентест интегрируется с процессом управления уязвимостями (VM)
Автоматический пентест — это не изолированное решение, а инструмент, который встраивается в существующие процессы защиты, делая их более осмысленными и результативными. Мы видим два ключевых сценария использования продукта:
Оценка эффективности средств защиты (СЗИ)
Этот сценарий помогает проверить, точно ли установленные СЗИ выполняют те функции, которых от них ожидают. Так, если в процессе атаки удается повысить привилегии на хосте, защищенном endpoint-решением, это сигнал о том, что либо защиту удалось обойти, либо продукт настроен некорректно. Или, допустим, PT Dephaze запускает брутфорс и генерирует соответствующие события в трафике. Если SOC-команда их не видит или не реагирует, это может указывать на пробелы в настройке мониторинга или в процедурах реагирования.
Приоритизация уязвимостей
Это самый интересный сценарий интеграции, который может обогатить процесс управления уязвимостями. Предположим, что сканер VM находит брешь и ставит ей некую оценку опасности. Решение для автопентеста же идет своим путем, в том числе используя уязвимости, обнаруженные сканером. В результате у нас появляются пересечения: то, что нашел сканер, и то, что нашел PT Dephaze. В этом случае в приоритете исправлений как раз эти пересечения. Более того, специалисты видят, к каким именно последствиям может привести эксплуатация.
Таким образом, команда ИБ точно будет знать, что в первую очередь исправлять нужно уязвимости, которые уже доказали свою опасность в исследуемой среде. Кроме того, с помощью автопентеста можно проверить, насколько надежно закрыли бреши, запустив тестирование заново после установки патчей. И делать это можно постоянно, после любых изменений в инфраструктуре: например, после пересмотра парольной политики, добавления устройств в сеть, изменения сетевых настроек или обновления политик безопасности.
От экспериментов к рабочим кейсам: место LLM в автопентесте
Игнорировать потенциал больших языковых моделей (LLM) в современном мире неразумно. Наша команда тестирует новые идеи на продвинутых моделях вроде GPT-4o или Claude 3.5 и, если эксперимент показывает стабильно высокие результаты, начинает эксперименты с более легкими моделями, чтобы в будущем добавить их в продукт, оставляя его таким же легким.
Вот примеры задач, которые эффективно решаются с помощью ИИ:
Поиск конфиденциальных данных в документах. Одна из ключевых задач после получения доступа к системе — поиск утекших учеток, токенов, ключей и другой чувствительной информации. Традиционные регулярные выражения могут давать сбои из-за разнообразия форматов файлов. LLM же отлично справляется с семантическим анализом текста в огромном массиве документов, идентифицируя, к примеру, спрятанный пароль к базе данных.
Генерация гипотез для брутфорса. Еще один перспективный кейс — генерация паролей для атак методом перебора. На основе информации о компании (названия, домена, имен сотрудников) ИИ может предложить высокорелевантные варианты учетных данных. Это значительно эффективнее стандартных списков.
Почему мы не доверяем ИИ самому принимать решения и строить цепочки атак? Ответ прост: в таком случае мы рискуем потерять безопасность и контролируемость. LLM на нынешней стадии развития не понимает границы между безопасной и опасной атакой. Стремясь достичь цели, модель по неосторожности может выбрать эксплойт, способный вызвать отказ в обслуживании на критически важном сервере, что приведет к простою бизнеса. Поэтому мы используем ИИ там, где он силен — в анализе неструктурированных данных и генерации идей, и оставляем принятие тактических решений за проверенным, безопасным и полностью контролируемым алгоритмом.
В заключении отметим, что контролируемый автоматический пентест полезен как крупным компаниям со зрелой системой кибербезопасности, так и организациям, которые только начинают выстраивать процессы ИБ. Решение подходит и командам, занимающимся ручным тестированием на проникновение: инструмент ускоряет рутинные операции и масштабирует проверки. Можно быстрее выявлять и оценивать уязвимости и недостатки инфраструктуры, а также подбирать наиболее эффективные средства защиты. В результате команда безопасности получает не просто отчет, а готовый план действий по устранению наиболее опасных угроз.
