Defense Software

Testarea de penetrare a sistemelor de apărare: ce face diferit testarea securității militare

De Echipa de inginerie Corvus Intelligence · Despre echipă →

4 iunie 2026 9 min citire

Testarea de penetrare este un element standard al oricărui program serios de securitate. În mediile comerciale, este un exercițiu relativ bine înțeles: o echipă externă primește un domeniu de aplicare, un document de reguli de angajament și o fereastră de timp pentru a găsi vulnerabilități exploatabile înainte ca atacatorii reali să o facă. Rezultatul este un raport; calea de remediere este o problemă de management de proiect.

În mediile de apărare, niciunul din aceste cadre nu se aplică pe deplin. Structura autorității legale este diferită, modelul de amenințare este diferit, constrângerile privind ceea ce pot atinge testerii sunt diferite, iar calea de la descoperire la remediere trece printr-un proces formal de acreditare care nu are echivalent comercial. Organizațiile care aplică convențiile comerciale de pen testing sistemelor de apărare — sau care angajează firme comerciale de pen testing fără experiență în apărare — produc în mod regulat evaluări care ratează riscurile cele mai relevante, operează în afara limitelor legale defensibile sau generează descoperiri pe care biroul de program nu le poate pune în aplicare.

Acest articol examinează ce face cu adevărat diferit testarea de penetrare în domeniul apărării, ce înseamnă aceasta operațional și cum să structurați o evaluare care produce rezultate pe care un program militar le poate utiliza.

Autoritatea legală: fundația care nu are echivalent comercial

În angajamentele comerciale, baza legală pentru un pen test este un contract și un document de reguli de angajament semnat de cineva cu autoritate de a autoriza testarea sistemelor țintă. Acea autoritate este de obicei simplă — compania deține sistemele și CISO sau CTO poate acorda permisiunea.

În mediile de apărare, lanțul de autoritate este mai complex, iar mizele pentru a greși sunt semnificativ mai ridicate. Sistemele informatice guvernamentale operează sub o Autorizație de Operare (ATO) acordată de un Oficial Autorizator (AO). ATO definește postura de securitate pe care sistemul este autorizat să o mențină. Testarea de penetrare modifică acea postură, cel puțin temporar, și trebuie autorizată explicit de AO — nu doar de managerul de program sau de ISSO-ul sistemului.

Pentru sistemele US DoD, se aplică Computer Fraud and Abuse Act (CFAA) și UCMJ. O persoană care accesează un sistem informatic guvernamental fără autorizare corespunzătoare — chiar și cu bune intenții, chiar și ca parte a unui test aparent autorizat — a comis o infracțiune federală. Documentul de autorizare nu este o formalitate: este instrumentul care transformă ceea ce altfel ar fi acces neautorizat în testare legală. Fiecare tester nominalizat în autorizare trebuie identificat individual. Domeniul testării autorizate trebuie să fie specific. Activitățile din afara acelui domeniu nu sunt protejate.

Cerința de autoritate legală: Nu începeți niciodată un pen test de apărare fără un document de autorizare specific, semnat de Oficialul Autorizator al sistemului. Aprobările generice de „evaluare de securitate" din partea managerilor de program sau a contractorilor principali nu oferă protecție CFAA. Autorizarea trebuie să identifice testerii după nume, să specifice sistemele în domeniu, să definească fereastra de testare și să enumere metodele permise.

Cerințele de autorizare de securitate adaugă un alt strat. Testarea unui sistem clasificat necesită ca testerii să dețină autorizații valide la nivelul de clasificare corespunzător. Organizația de testare trebuie să dețină o autorizație de facilitate (FCL) la acel nivel. Introducerea personalului neautorizat — chiar și în roluri de suport — într-un mediu de testare clasificat este o încălcare de securitate, indiferent de ce văd sau ating efectiv.

ITAR (International Traffic in Arms Regulations) introduce constrângeri suplimentare pentru programele care implică articole de apărare controlate. Informațiile despre vulnerabilitățile din sistemele controlate ITAR pot ele însele face obiectul restricțiilor de control al exporturilor, limitând ceea ce poate fi documentat, transmis sau împărtășit peste granițele internaționale — inclusiv în cadrul programelor aliate multinaționale. Firmele de testare care operează în cadrul aranjamentelor internaționale de subcontractare trebuie să țină cont de acest lucru în mod explicit.

Emularea actorilor de amenințare: TTP-uri de stat național, nu exploit-uri generice

Pen testingul comercial se concentrează adesea pe găsirea oricărei vulnerabilități exploatabile — cele mai comune, mai ușor disponibile, cu cel mai mare scor CVSS din suprafața de atac a țintei. Pentru o rețea corporativă, aceasta este o abordare rezonabilă: un atacator oportunist va exploata cel mai ușor drum disponibil.

Sistemele de apărare se confruntă cu o populație de amenințări fundamental diferită. Adversarii primari pentru țintele de apărare de mare valoare sunt actorii de stat național cu resurse substanțiale, capacități avansate și orizonturi de timp lungi. Nu vor fi opriți prin corectarea vulnerabilității OpenSSL cu CVSS 10 dacă pot pivota printr-un partener de lanț de aprovizionare de încredere, o componentă embedded legacy sau o configurare greșită a soluției cross-domain.

Testarea de penetrare eficientă în apărare utilizează emularea adversarului: echipa de testare repl ică tacticile, tehnicile și procedurile (TTP) ale unor grupuri specifice de actori de amenințare relevante pentru modelul de amenințare al programului. Cadrul MITRE ATT&CK oferă o taxonomie structurată pentru aceasta, cu matrici Enterprise și ICS care acoperă tehnicile cel mai frecvent utilizate de grupurile de amenințări persistente avansate.

Pentru sistemele de apărare, actorii de amenințare relevanți includ de obicei:

APT28 (Fancy Bear / GRU Unitatea 26165) — Serviciul de informații militare rusesc, cunoscut pentru spearphishing, colectarea de acreditări și persistența prin abuzul de instrumente legitime. Tacticile relevante pentru software-ul de apărare includ țintirea stațiilor de lucru ale dezvoltatorilor și a pipeline-urilor de build pentru a injecta cod malițios în amonte de implementare.
Lazarus Group (DPRK) — Actor de stat nord-coreean cu un palmares de țintire a contractorilor de apărare și firmelor aerospațiale, în special prin atacuri watering hole și momeală de aplicații de angajare înarmată care vizează personalul autorizat.
Volt Typhoon (PRC) — Actor de stat chinez axat pe tehnici living-off-the-land pentru a obține acces persistent și cu zgomot redus la infrastructura critică și rețelele de apărare. Notabil pentru evitarea malware-ului personalizat în favoarea instrumentelor de sistem integrate pentru a evita detectarea.

Planul de testare ar trebui să specifice ce profil de adversar este emulat și de ce, pe baza evaluării amenințărilor programului. Un test care emulează abordarea living-off-the-land a lui Volt Typhoon va arăta foarte diferit față de unul care emulează operațiunile axate pe acreditări ale APT28 — și amândouă vor arăta diferit față de un test axat pe scenarii de amenințare din interior sau integritatea lanțului de aprovizionare.

Notă privind selecția adversarului: Profilul actorului de amenințare ar trebui să fie determinat de evaluarea amenințărilor informate de servicii de informații a programului, nu de preferința testerului sau de etichete generice „avansate". Pentru programele cu profiluri geografice specifice de amenințare sau istorii de țintire cunoscute, ISSO ar trebui să informeze echipa de testare cu privire la raportările actuale de amenințare înainte de începerea angajamentului.

Gestionarea domeniului: constrângerile de fără-întrerupere și mediile de testare izolate

Constrângerile domeniului de aplicare în pen testingul comercial sunt în primul rând despre limitarea răspunderii și concentrarea efortului. Constrângerile domeniului de apărare poartă dimensiuni suplimentare care modelează fundamental modul în care poate fi realizat un test.

Multe sisteme de apărare nu pot accepta nicio întrerupere în timpul testării. Sistemele de comandă și control, infrastructura de comunicații și platformele de fuziune a senzorilor în timp real pot fi operațional active în timpul unei ferestre de testare. O tentativă de exploatare care cauzează o întrerupere a serviciului — chiar și una scurtă — poate avea consecințe operaționale pe care nicio despăgubire contractuală nu le poate adresa. Abordarea comercială standard de testare împotriva sistemelor de producție cu o regulă „opriți dacă vedeți ceva instabil" nu este acceptabilă pentru aceste medii.

Consecința practică este că multe pen teste de apărare sunt realizate împotriva mediilor de testare dedicate: segmente de rețea izolate, medii de staging sau replici de laborator care oglindesc producția cât mai fidel posibil. Fidelitatea mediului de testare contează enorm. Un mediu de testare care utilizează versiuni diferite de firmware, lipsește integrările de producție sau operează cu controale de acces relaxate față de producție va produce descoperiri care nu reflectă postura reală de risc a sistemului operațional. Fidelitatea mediului de testare este o investiție la care biroul de program trebuie să se angajeze — nu este problema echipei de testare de rezolvat.

Încălcările domeniului sunt tratate cu mai multă severitate în mediile de apărare decât în cele comerciale. Atingerea accidentală a unui sistem din afara domeniului autorizat nu este o problemă procedurală minoră — poate constitui acces neautorizat la un sistem informatic guvernamental. Testerii trebuie să mențină un jurnal detaliat de activitate pe tot parcursul angajamentului, documentând acțiunile semnificative în timp aproape real, astfel încât orice întrebări de domeniu care apar în timpul sau după test să poată fi rezolvate cu dovezi, nu cu amintiri.

Clase de vulnerabilități specifice apărării

Dincolo de diferențele procedurale, sistemele de apărare prezintă clase de vulnerabilități care sunt subreprezentate în metodologiile comerciale de pen testing.

Sisteme embedded legacy. Platformele de apărare rulează în mod regulat software pe hardware cu vârsta de 10–20 de ani, cu firmware embedded care nu poate fi corectat prin mecanisme normale de actualizare software. Vulnerabilitățile din aceste componente pot fi cunoscute, dar netratabile în cadrul ciclului de viață al sistemului — descoperirea pen testului va deveni o intrare permanentă în POAM cu o cerere de derogare, mai degrabă decât un bilet de remediere. Testerii trebuie să înțeleagă ce înseamnă „descoperire" în acest context: valoarea constă în documentarea și cuantificarea riscului, nu neapărat în determinarea remedierii imediate.

Soluții cross-domain. Sistemele care gestionează date la mai multe niveluri de clasificare utilizează soluții cross-domain (CDS) pentru a muta datele între domeniile de securitate. Acestea sunt ținte de mare valoare: un CDS care poate fi manipulat să transmită informații în direcția greșită înfrânge întreaga arhitectură de gestionare a datelor. Testarea CDS necesită expertiză specializată și autorizare specifică — aceste componente sunt adesea tratate ca domenii separate în cadrul unei evaluări mai largi de program.

Integritatea lanțului de aprovizionare. Cele mai semnificative atacuri asupra lanțului de aprovizionare software din ultimii ani (SolarWinds, XZ Utils) au vizat pipeline-urile de build și injecția de dependențe, mai degrabă decât sistemele în rulare. Programele de apărare sunt ținte de mare valoare pentru această clasă de atacuri. Pen testingul ar trebui să includă evaluarea mediului de build: poate un atacator cu acces la stația de lucru a unui dezvoltator să introducă cod malițios care supraviețuiește unui build de producție? Poate fi introdusă o dependență compromisă fără a declanșa controalele existente?

Gestionarea certificatelor și cheilor. Sistemele de apărare depind în mare măsură de infrastructura PKI pentru autentificare și securitatea comunicațiilor. Validarea incorect configurată a certificatelor, configurațiile prea largi ale ancorelor de încredere și gestionarea slabă a ciclului de viață al cheilor sunt descoperiri consecvent cu severitate ridicată. Spre deosebire de vulnerabilitățile de aplicație, acestea sunt adesea invizibile pentru scanarea automată și necesită verificarea manuală a arhitecturii PKI față de proiectul de securitate al sistemului.

Ciclul de viață al descoperirii: POAM, impactul ATO și cererile de derogare

În angajamentele comerciale, raportul pen testului ajunge la CISO, descoperirile sunt tranzacționate, un subset este remediat, iar restul îmbătrânesc într-un tracker până la următoarea evaluare. Procesul este condus de apetitul pentru risc și capacitatea de inginerie.

În mediile de apărare, descoperirile alimentează un ciclu formal de acreditare cu implicații legale și contractuale. Conceptul cheie este Plan of Action and Milestones (POAM): un document care urmărește fiecare slăbiciune cunoscută a sistemului față de care a fost acordat sau se caută un ATO. Fiecare descoperire dintr-un pen test care nu este remediată imediat trebuie introdusă în POAM cu o dată programată de remediere, un proprietar responsabil și o măsură de atenuare intermediară.

POAM-ul este revizuit de Oficialul Autorizator ca o condiție a menținerii ATO. Elementele deschise cu severitate ridicată fără atenuări intermediare adecvate sau programe realiste de remediere pot declanșa o suspendare a ATO — efectiv scoțând sistemul offline până când postura de risc este abordată. Pentru un birou de program, acest rezultat este suficient de serios încât unele programe întârzie sau limitează domeniul pen testingului pentru a evita generarea de descoperiri care ar putea declanșa o revizuire ATO. Aceasta este un eșec de gestionare a riscului: vulnerabilitățile există indiferent dacă sunt documentate sau nu.

Pentru descoperirile care nu pot fi remediate — componente legacy fără patch-uri disponibile, constrângeri arhitecturale care ar necesita o redesenare completă a sistemului — biroul de program poate depune o cerere de derogare sau o acceptare a riscului la AO. Aceasta nu este o admitere a eșecului; este mecanismul formal pentru operarea cu risc rezidual cunoscut sub autorizare explicită. Testerii ar trebui să înțeleagă acest proces și să formuleze descoperirile în moduri care ajută ISSO să construiască intrări POAM defensibile și cereri de derogare, nu doar în moduri care maximizează scorurile CVSS.

Formularea raportului pentru programele de apărare: Rapoartele pen testelor de apărare ar trebui să includă, pentru fiecare descoperire: un marcaj de clasificare, o evaluare a severității aliniată la criteriile de acceptare a riscului ale programului, o evaluare a exploatabilității date actorilor de amenințare reali ai programului și o dispoziție POAM recomandată. Rapoartele scrise în format comercial — scoruri CVSS, sfaturi generice de remediere, rezumate executive destinate conducerii non-tehnice — necesită rework semnificativ înainte ca ISSO să le poată utiliza.

Cum să delimitați și să autorizați un pen test de apărare

Următorii pași reflectă cerințele pentru un test de penetrare defensibil, autorizat legal, pe un sistem software de apărare.

Pasul 1: Stabiliți autoritatea legală și autorizarea scrisă. Obțineți un document de autorizare semnat de la AO-ul sistemului. Documentul trebuie să nominalizeze testerii, să specifice sistemele în domeniu, să definească fereastra de testare și să enumere metodele permise. Aceasta nu este o formalitate — este instrumentul care face testarea legală.

Pasul 2: Verificați autorizațiile de securitate și acreditările facilității. Confirmați că toți testerii dețin autorizații valide la nivelul de clasificare al sistemului țintă și că organizația de testare deține un FCL la nivelul necesar. Informați toți testerii cu privire la ghidul de clasificare a securității programului înainte de a accesa orice mediu clasificat.

Pasul 3: Definiți domeniul și limitele mediului de testare. Identificați sistemele, rețelele și interfețele care se află în domeniu. Acolo unde sistemele operaționale nu pot accepta întreruperi, stabiliți un mediu de testare dedicat. Documentați excluderile explicite și informați testerii cu privire la consecințele legale ale încălcărilor de domeniu.

Pasul 4: Selectați și verificați instrumentele de testare. Revizuiți obligațiile ITAR și cerințele de acreditare ale programului pentru a determina ce instrumente sunt permise. Eliminați instrumentele cu componente de origine străină, licențiere bazată pe cloud sau telemetrie de ieșire. Documentați setul de instrumente în planul de testare și trimiteți pentru revizuire la biroul de program înainte de începerea angajamentului.

Pasul 5: Realizați emularea actorului de amenințare pe baza modelului de amenințare al programului. Selectați profilul de adversar cel mai relevant pentru sistem. Utilizați MITRE ATT&CK pentru ICS sau Enterprise, după caz, adaptat la arhitectura specifică a sistemului și profilul misiunii. Nu substituiți testarea generică „avansată" cu emularea reală a adversarului.

Pasul 6: Documentați activitatea și descoperirile cu marcaje de clasificare. Mențineți un jurnal detaliat de activitate pe tot parcursul angajamentului. Toate descoperirile trebuie să poarte marcaje de clasificare corespunzătoare și evaluări ale severității aliniate la criteriile de acceptare a riscului ale programului.

Pasul 7: Introduceți descoperirile în POAM și urmăriți remedierea. Lucrați cu ISSO pentru a introduce toate descoperirile deschise în POAM. Atribuiți proprietari de remediere, date programate și atenuări intermediare. Prezentați descoperirile cu severitate ridicată direct AO — nu permiteți ca vulnerabilitățile critice să rămână într-o coadă fără acceptare explicită a riscului sau remediere activă.

Discutați cerințele dvs. de evaluare a securității

Corvus Intelligence construiește și testează software de apărare pentru programe în care mizele eșecurilor de securitate sunt operaționale, nu doar reputaționale. Dacă planificați o evaluare de securitate pentru un sistem de apărare sau evaluați furnizori cu autorizarea necesară și experiența în programe, suntem disponibili pentru un briefing tehnic.

Rezervați un briefing Articole Defense Software →

Această analiză a fost pregătită de inginerii Corvus Intelligence care construiesc și evaluează software critic pentru organizații de apărare și guvernamentale. Aflați despre echipa noastră →

Întrebări frecvente

Cine poate efectua legal testarea de penetrare pe sistemele de apărare clasificate?

Doar personalul cu autorizații de securitate corespunzătoare nivelului de clasificare al sistemului testat. În mediile US DoD, testerii necesită cel puțin o autorizație Secret pentru sistemele SECRET, și o autorizație Top Secret/SCI pentru sistemele de nivel TS. Organizația de testare trebuie să dețină și o autorizație de facilitate (FCL) la nivelul corespunzător. Contractorii trebuie să opereze sub un document de autorizare scris — un Memorandum de Acord sau o autorizație specifică de testare — semnat de Oficialul Autorizator al sistemului. Testarea fără autorizare scrisă explicită este o infracțiune federală, indiferent de intenție.

Ce se întâmplă când o vulnerabilitate zero-day este descoperită în timpul unui pen test de apărare?

Descoperirile zero-day în angajamentele de apărare urmează o cale diferită față de dezvăluirile comerciale. Descoperirea este clasificată la nivelul corespunzător și raportată imediat Oficialului Autorizator al programului și ISSO. Testerul nu publică sau dezvăluie vulnerabilitatea extern — inclusiv furnizorului — fără instrucțiuni guvernamentale. Guvernul poate coordona dezvăluirea prin CISA sau CERT-ul național relevant, poate emite o cerere de derogare pentru a permite operarea continuă a sistemului în timp ce se dezvoltă un patch, sau poate clasifica descoperirea ca vulnerabilitate cunoscută în pachetul ATO. Considerațiile ITAR și de control al exporturilor pot restricționa ceea ce poate fi împărtășit peste granițele internaționale, chiar și în cadrul programelor aliate.

Ce instrumente sunt aprobate pentru utilizarea în mediile de apărare clasificate?

Nu există o singură listă universală de instrumente aprobate — pachetul de acreditare sau autorizația de testare al fiecărui program specifică ce este permis. În practică, instrumentele disponibile comercial (Cobalt Strike, Metasploit Pro, Nessus) pot fi aprobate, dar trebuie procurate, instalate și operate în moduri care satisfac cerințele programului privind lanțul de aprovizionare și gestionarea configurației. Instrumentele cu cod de origine străină sau licențiere bazată pe cloud care „telefonează acasă" sunt de obicei interzise. Instrumentele personalizate trebuie să treacă prin revizuire de cod și poate fi necesar să fie tratate ca artefacte ale lanțului de aprovizionare software în cadrul cerințelor SBOM. Unele programe interzic complet instrumentele care utilizează fluxuri externe de informații despre amenințări.

Cum diferă gestionarea domeniului de aplicare în pen testingul de apărare față de angajamentele comerciale?

În angajamentele comerciale, domeniul de aplicare este în principal un exercițiu de gestionare a răspunderii. În angajamentele de apărare, domeniul de aplicare este o limită de autoritate legală. Operarea în afara domeniului aprobat — chiar și accidental — poate constitui acces neautorizat la un sistem informatic guvernamental, declanșând răspundere penală în temeiul Computer Fraud and Abuse Act și potențial al UCMJ pentru personalul militar. Domeniile de apărare exclud de obicei sistemele operaționale care nu pot tolera întreruperi, necesitând medii de testare dedicate care s-ar putea să nu reflecte perfect producția. Testerii trebuie să documenteze fiecare acțiune semnificativă pe parcursul angajamentului pentru a produce un jurnal de activitate defensibil dacă apar întrebări ulterior.

Ce este un POAM și cum se raportează la descoperirile pen testului?

Un Plan of Action and Milestones (POAM) este documentul formal care urmărește fiecare slăbiciune de securitate cunoscută într-un sistem care a primit sau caută o Autorizație de Operare (ATO). Când un pen test produce descoperiri, fiecare descoperire care nu poate fi remediată imediat trebuie introdusă în POAM cu o dată programată de remediere, un proprietar responsabil și o măsură de atenuare intermediară. POAM-ul este revizuit de Oficialul Autorizator ca parte a menținerii ATO — elementele deschise cu severitate ridicată pot declanșa o suspendare sau revocare a ATO. Aceasta înseamnă că raportul pen testului nu este produsul final; dispoziția fiecărei descoperiri în POAM este ceea ce biroul de program urmărește efectiv.