Тест на проникновение - необходимость? Лучшие дистрибутивы для проведения тестирования на проникновение.

Каждый владелец бизнеса, IT-специалист и просто пользователь компьютера хотя бы раз сталкивался с кибер угрозами. В современном мире они приобретают все большую силу и способность нанести огромный ущерб не только бизнесу но и государству.

Среди хакеров существует разделение на две категории:

Белые хакеры (White hat) - работают для обеспечения безопасности, противодействуют незаконным вторжениям.

Черные хакеры (Black hat) - переступают закон, похищают персональные данные, опустошают банковские счета.

Наша команда возьмет на себя задачу по проведению тестов на поиск уязвимостей в Вашей корпоративной офисной сети, на Ваших веб-сайтах и в приложениях. А так же с помощью социальной инженерии мы сможем определить наиболее слабо защищенные отделы в Вашей компании и выдадим рекомендации по усилению защиты.

Что входит в пентестинг (тест безопасности)?

В тестирование безопасности компании может входить:

• Внешний анализ сети и периметра
• Пентест (тест на проникновение)
• Внутреннее тестирование сети
• Поиск уязвимостей и эксплуатация
• Социальная инженирия
• Тестирование web-сайтов компании
• Тестирование мобильных приложений компании
• Отчет о тестировании и рекомендации

Точный список тестов определяется на этапе переговоров, после изучения потребностей клиента.

Стоимость тестирования на проникновение

Внешнее тестирование корпоративной сети

Стоимость по запросу

Тестирование (пентест) с проникновением

Стоимость по запросу

Тестирование web и мобильных приложений

Стоимость по запросу

Социальная инженирия

Стоимость по запросу

Тест безопасности "под ключ"

Стоимость по запросу

Расследование киберпреступлений

Стоимость по запросу

ВАЖНО

"к сожалению чаще всего компании начинают задумываться об информационной безопасности, когда уже пострадали. Хакерам не важен размер Вашей компании и её обороты, им важно количество взломанных компаний."

Защитите свою компанию от кибер угроз!

Так что же такое пентест?

Тестирование – это поиск, а тестирование на проникновение – это одна из разновидностей наиболее глубокого и результативного поиска максимального количества с разной степенью уязвимости точек и областей для проникновения сторонних ресурсов и пользователей. Такие вторжения могут проводиться как злонамеренно, так и опосредованно для внесения или получения определенных данных.

Данная методика может проводиться отдельно и быть включена в регулярные либо разовые тестовые системы для создания эффективных защитных мероприятий от самого широкого диапазона сторонних атак и проникновений.

Этиология системной уязвимости

Потеря доли безопасности может образоваться на разных этапах функционирования любой системы, но в любом случае она зависит от воздействия таких факторов как:

• погрешность проектирования,


• некорректность процесса настройки при выборе низко функциональной конфигурации сочетания ПО и связанного в систему оснащения,


• недоработки в безопасности системы сетевого выхода. Чем выше степень безопасности сетевого подключения, тем меньше вероятность негативного воздействия и возможности проникновения вредоносного воздействия в систему,


• человеческий фактор, выражающийся в возникновении злонамеренной или нечаянной ошибки в проектировании, пользовании или обслуживании сети в ходе личной или командной работы с нею,


• коммуникативная составляющая, выражающаяся в незащищенной передаче конфиденциальных данных,


• неоправданно высокая степень сложности системы. Всегда легче установить контроль над степенью ее безопасности, нежели отследить каналы утечки из нее данных. Что сделать намного проще в простых и функциональных системах, чем в их сложных аналогах,


• нехватка знаний. Отсутствие должного уровня профессиональной подготовки в вопросах безопасности у непосредственно или опосредованно связанных с использованием системы специалистов.

Тестирование отличается от оценки степени уязвимости

Несмотря на родство цели их использования. А именно, поиск и организация максимально безопасного программного продукта. Работают они по-разному.

Тестирование проникновением ведется через реальный мониторинг, проводимый как вручную, так и с применением определенных узкоспециализированных систем и инструментов. Что производится через сэмулирование злонамеренных воздействий, позволяющих выявить места уязвимости.

Выяснение степени уязвимости идет путем тщательного изучения рабочих процессов для выявления возможных прорех, через которые могут уходить данные при проведении атак определенных разновидностей. Что помогает найти уязвимые для хакерского воздействия области, что и определяет степень общей безопасности тестируемой системы. В ходе ее проведения происходит выявление, коррекция и устранение обнаруженных «слабостей».

Так определение степени уязвимости представляет собой установленный рабочий процесс. А тестирование проникновением действует «по обстановке» с единой целью максимально сильно воздействовать на системы для выявления прорех в ее защите.

Для чего это нужно

Оно позволяет самим найти и устранить прорехи в системе безопасности используемой программы. Это работа на опережение для предотвращение возможности проникновения негативного стороннего воздействия вне зависимости от его целей и уровней внедрения. То помогает создать максимально компетентную систему защиты от ожидаемых, а не только уже действующих угроз из вне.

Подобный мониторинг позволяет:

• найти слабые/уязвимые места в системе до того, как они будут подвержены внешним негативным воздействиям и дадут прореху для утечки данных. Это прекрасная альтернатива частых обновлений системы. Потому как последние влияют на сочетаемость и скорость работы ранее отлаженной без их учета системы. Обновления лучше контролировать, чем проводить бесконтрольно;


• оценить запущенный в работу инструмент, обеспечивающий безопасность. Позволяет разработчикам получить реальную оценку своей компетентности, а также уровень соответствия действующим стандартам безопасности. Помимо этого тестирование на проникновение позволяет определить бизнес-риски, как и иные составляющие защиты, которые могут снижаться в ходе задействования компромисса между сочетанным использованием разрешенных и вновь активированных программных составляющих. Дает возможность структурировать и определять приоритетность снижая и исключая степени обнаруженных рисков и негативного воздействия возможных угроз;
• выявлять риски для доработки действующих стандартов безопасности.

Процесс мониторинга

Тестирование на проникновение сегодня может проводиться с использованием множества методик, но основными и наиболее предпочтительными из них выступают:

Тестирование в ручную проводится по нижеследующему алгоритму

• планирование или тщательный сбор данных с учетом потребностей, сферы использования, целей предстоящего мониторинга с учетом уровня существующей защиты. Здесь же могут быть указаны конкретные области контроля степени защиты, тип желаемого/планируемого воздействия и иные требования к предстоящему мониторингу,


• разведывательные манипуляции, направленные на поиск и кумуляцию полученных данных о системных и сторонних, сочетанно используемых, защитных механизмах, необходимых для проведения таргетинга и специально организуемых атак на заданные блоки, либо всю системы. Цель: получение максимально результативного тестирования. Отсюда две разновидности: пассивная и активная, где первая проводится без активного воздействия на систему, а вторая является ее полной противоположностью,


• анализ выявленных результатов. Данный этап позволяет выявлять самые уязвимые места, которые будут использоваться для проведения дальнейшего агрессивного проникновения в систему,


• использование полученных результатов. На основе выявленных мест «легкого проникновения» систем защиты производится подготовленная агрессия на ПО причем как в виде внешних, так и внутренних атак. Внешнее воздействия – это угроза системы из вне, где происходит сэмулирование прямых внешних угроз, воздействующих на систему, и специализированных попыток несанкционированного доступа к данным защищенной от этого системы. Внутренние атаки представляют собой второй этап воздействия, начинающийся после успешного проникновения в систему из вне. Спектр целей их дальнейшего воздействия широк и разнообразен. Главная из них компрометация той системы, в которую они проникли,


• результаты эксплуатации, позволяют выявить задачи каждой выявленной угрозы и определить ее потенциальные возможности на внутренние бизнес-процессы системы в целом и ее отдельных составляющих в частности,
• заключение – это блок документального оформления проведенных работ и полученных результатов с описанием потенциальных угроз и степеней их негативного воздействия при достижении целей воздействия.



Тестирование посредством автоматизированных инструментов представляет собой не только эффективный, но весьма полезный момент использования узкоспециализированных инструментов. Пользоваться им удобно, затраты времени минимальные, а результативность позволяет создавать «кристально чистые» заключения о проделанной работе.




К списку самых популярных инструментов относят: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af . Много интересного и функционального предлагают системные сборники от Linux.




Для работы выбирают инструменты, отвечающие определенным запросам, к примеру:

• практичность запуска, пользования и дальнейшего обслуживания,


• простота сканирования,


• уровень автоматизации при обнаружении уязвимых мест,


• степень доступности тестирования ранее обнаруженных слабых для внешних атак областей,


• степень возможности в создании детализированных и простых отчетных документов по проведенных работах и полученных результатах.



Сочетание вышеизложенных методик воедино. Это оптимальный метод тестирования на проникновение, потому как способен сочетать преимущества обеих методик и стать максимально быстрым и детально информативным.

Разновидности испытаний на предмет проникновения

Разделение производится в зависимости от применяемых инструментов и объектов мониторинга:



• социальная или человеческая, где подключается люди, которые могут удаленно или месно необходимую информацию и четко ее обрабатывать,


• программное приложение, задействуется для выявления изъянов в системе безопасности. Одновременно используется несколько вариантов веб-предложений и специализированных сервисов используемого сервиса или сторонних источников,


• сетевой ресурс, позволяющий выявить возможности несанкционированного хакерского доступа или проникновения не авторизованного пользователя,


• клиентская часть, использует в работе специальных приложений, установленных на сайте или в приложении клиента,


• удаленный доступ проводится путем vpn тестирования, либо подобного объекта, позволяющего обеспечить должный доступ к данной системе,


• беспроводное подключение, имеет целью тестировать беспроводные приложения, сервисы и их инструменты.



Классификация методик мониторинга проводится и с учетом типа подхода к его проведению. Что позволяет выделять:

• белый, где тестировщику доступен выход на пользование данными о функциях и инструментах проверяемой системы. Что делает его работу максимально результативной и продуктивной. Потому как владение подобной информацией позволяет понять тонкости и особенности тестируемой системы, а значит проводить проверку с максимальным погружением,


• черный дает доступ к основам или высоко уровневой информации о системе. Тестировщик ощущает себя скорее хакером, чем сотрудником, действующим изнутри системы. Высокая степень трудоемкости данного метода требует времени и основательных знаний, как и опыта его проведения. Поэтому высока вероятность пропуска или неполного тестирования,


• серый или ограниченный доступ к информации о системе, достаточный для создания имитации внешней атаки.



Границы тестирования на проникновение

Ограничений диапазона подобного воздействия много, но к основным стоит отнести:

• короткий временной период при высокой изначальной стоимости данной процедуры,


• ограничение на число испытаний в единицу времени,


• возможность появление отказа на проникновение со стороны системы,


• высокая степень уязвимости полученных данных.



Заключение

Современные хакеры, обладающие постоянно обновляющимся набором программ и эффективных инструментов для проведения результативных атак. Поэтому они часто попадают в интересующие их системы с прямым намерением скомпрометировать сеть или воспользоваться ее ресурсами. Мониторинг путем проникновения в данном случае максимально эффективен в качестве орудия для обнаружения уязвимых мест в любых системах защиты. И позволяет максимально снизить потенциал внешних угроз для ПО в целом.

Пентест - или тест на проникновение - показывает, насколько легко злоумышленнику проникнуть в корпоративную информационную систему. В ходе тестирования на проникновение «Перспективный мониторинг» моделирует действия злоумышленника и даёт оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Мы выявляем вероятные направления атак и даём рекомендации, как устранить слабые места в защите и повысить уровень ИБ.

Чем полезны пентесты

Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

Пентестер находит и эксплуатирует уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области ИБ. «Перспективный мониторинг» даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.

Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос - «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры «Перспективного мониторинга» выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.

Также регулярное тестирование на проникновение - требование PCI DSS и ISO 27001. Согласно этим стандартам пентесты проводятся ежегодно или после существенных изменений в информационной инфраструктуре.

Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности - не реже одного раза в 3 года.

Виды тестов на проникновение

Наша компания проводит три вида пентестов:

1. Тест на проникновение, основанный на технических методах. В рамках него мы находим и эксплуатируем уязвимости оборудования и ПО. Мы используем инструменты автоматического и ручного тестирования, которые детектирует IPS/IDS заказчика. Поэтому этот вид пентеста проводится на заранее определённые системы в согласованное со службой ИБ время.
2. Тест на проникновение, основанный на методах социальной инженерии. Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности. Любопытство, жадность и желание развлечься - лучшие инструменты злоумышленников, которыми они успешно пользуются. Для планирования атак мы пользуемся инструментами The Social Engineering Framework и Social Engineer Toolkit (SET).
3. Социотехнический пентест. Он совмещает преимущества первых двух и помогает выявить наибольшее число вероятных направлений атак и уязвимостей.

Тесты отличаются по степени информированности пентестера о средствах защиты, сетевой инфраструктуре, аппаратном и программном обеспечении заказчика:

• внешний без учётных данных,
• внешний с учётными данными клиента,
• внутренний без учётных данных,
• внутренний с учётными данными клиента,
• внутренний с учётными данными администратора.

Мы разработали собственную методику тестирования, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.

Объекты исследований

• СУБД.
• Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
• Протоколы различных уровней сетевой модели OSI.
• Сетевое оборудование.
• Беспроводные технологии.
• Средства защиты информации.
• Серверные и пользовательские операционные системы.

Сроки

Сбор информации - от 1 до 5 дней.

Подготовка к пентесту - до 5 дней.

Атака - 1–2 дня.

Подготовка отчёта - до 5 дней.

«Разбор полётов» с заказчиком - до 10 дней.

Обучение сотрудников заказчика - от 1 до 10 дней.

Результат

Отчёт о тестировании на проникновение содержит:

• перечень проведённых тестов;
• перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
• описание способов эксплуатации уязвимостей для проведения атак;
• описание применённых техник социнженерии с результатами проверки;
• протокол действий службы реагирования;
• рекомендации по устранению уязвимостей.

При необходимости мы разработаем программу повышения осведомлённости сотрудников в вопросах ИБ.

Последняя пара лет была богата на события, которые резко повысили интерес общества к теме хакерских атак. Скандал со взломом систем демократической партии США, выведение из строя энергетических систем инфраструктуры Министерства финансов и казначейства Украины, вирусы-вымогатели, уже не только шифрующие файлы, но и блокирующие работу промышленного и медицинского оборудования, MIRAL, гигантский ботнет из бытовых устройств, оставивший без связи половину США и Либерию, злоумышленники, массово потрошащие банки, как волки беззащитных овечек… Под ударом даже SWIFT! Хакеры из киношных гиков стали частью реальности миллиардов людей.

Вполне естественно, что бизнес сегодня в первую очередь вкладывает ресурсы в практическую безопасность в противоположность формальному выполнению требований регуляторов минимальными средствами. И также естественно его желание проверить, насколько эффективно выстроенная система безопасности защищает от сетевых акул.

В этот раз мы решили сосредоточиться исключительно на практических моментах информационной безопасности (ИБ), связанных с компьютерными атаками и непосредственной защитой от них. Для взлома в исполнении «белых шляп», т.е. специалистов, легально имитирующих действия злоумышленников, используется термин «тестирование на проникновение» (penetration test, pentest). За этим термином скрываются сразу несколько направлений исследования защищенности, и в каждом из них работают свои узкие специалисты. В статье мы разберемся, что такое пентест, зачем он нужен и где проходит граница между атакой хакера и тестированием на проникновение.

Пентест по сути своей — это один из видов аудита ИБ. И в этом его главное отличие от реального взлома. Хакер ищет самую короткую дорогу к контролю над системами жертвы. Если на периметре нашлась дыра, злоумышленник сосредотачивается на закреплении и развитии атаки вовнутрь. А пентестер, которому заказали внешнее тестирование сети, должен скрупулезно обследовать хост за хостом, даже если уже найдена целая куча дыр. Если хосты однотипны (например, 1000 одинаковых рабочих станций), исследователь, конечно, может сделать контрольную выборку, но пропускать принципиально отличные системы недопустимо. Наверное, для заказчика это самый простой способ определить некачественный пентест.

Пентест не заменяет полноценный аудит ИБ. Для него характерен узконаправленный взгляд на исследуемые системы. Пентест по сути своей имеет дело со следствиями, а не с причинами недостатков ИБ. Зачем же его вообще проводить? Когда промышленность выпускает новый образец военной техники, инженеры тщательно просчитывают свойства брони, характеристики вооружения, но на военной приемке технику все равно выкатывают на полигон, обстреливают, подрывают и т.д. Эксперимент — критерий истины. Пентест позволяет понять, так ли хорошо, как мы думаем, выстроены у нас процессы ИБ, надежны ли системы защиты, верна ли конфигурация на серверах, понимаем ли мы путь, по которому пойдет реальный хакер. Таким образом, может сложиться впечатление, что пентест необходим компаниям, которые уже основательно вложились в ИБ. В теории это так, но на практике зачастую совсем иначе.

Я вывел для себя такую формулу пентеста:

Исследование — это самая очевидная часть пентеста. Как в кино: странные ребята в худи в ночи громят ИТ-оборону. На деле зачастую все несколько прозаичнее, зато данный образ позволяет пентестерам не соблюдать корпоративный дресс-код.

Отчет — обычно не самая любимая часть работы для пентестеров, но она критически важна. Заказчик работ должен получить детальное описание всех успешных и неуспешных попыток проникновения, понятное описание уязвимостей и, что очень важно, рекомендации по их устранению. К последней части рационально привлекать профильных специалистов по ИБ, потому что знать, как сломать, вовсе не означает знать, как правильно и безопасно это поправить в реальности корпоративной ИТ-инфраструктуры.

И последний компонент, ради которого зачастую и организуется весь пентест, — это шоу. Такой аудит на порядок превосходит любой другой по наглядности, особенно для непрофессионалов. Это лучший способ продемонстрировать недостатки ИБ руководству компании в доступной для неспециалистов форме. Краткое (на паре страниц) Executive Summary со сканом паспорта CEO, титульного листа конфиденциального отчета и базы клиентов может принести для ИБ в компании больше пользы, чем весь 200 страничный отчет, идущий далее. Именно поэтому зачастую пентест заказывают компании, где ИБ до этого толком не занимались, и бизнес, а зачастую и ИТ, не понимают серьезности существующих рисков.

Параметры тестирования

Пентесты можно классифицировать самыми различными способами. Остановимся только на тех, которые имеют практическую ценность при конфигурировании пентеста под себя.

Поставленная заказчиком работ цель атаки может сильно отличаться от пентеста к пентесту. Под «просто взломайте нас» обычно подразумевается захват контроля над ИТ-инфраструктурой (права администратора домена, сетевого оборудования), компрометация бизнес-систем и конфиденциальной информации. А бывают узконаправленные пентесты. Например, в рамках сертификации по требованиям безопасности карточных данных PCI DSS целью ежегодного обязательного пентеста является компрометация именно карточных данных. Здесь в первый же день работ сеть банка может быть полностью захвачена, но, если последний бастион с секретными данными не падет, организация успешно пройдет проверку.

Модель знаний о системе определяет стартовую позицию пентестера. От полной информации о системе (White box) до полного ее отсутствия (Black box). Зачастую выделяют и средний вариант (Grey box), когда, например, пентестер имитирует действия непривилегированного пользователя, имеющего некоторые данные о системе. Это может быть рядовой клерк, компания-партнер, клиент с доступом в личный кабинет и т.п. White box — это скорее аудит, а не классический пентест. Применяется в том случае, когда нужно детально изучить защищенность на узком участке. Например, проверяется новый клиентский портал. Исследователю предоставляется вся информация по системе, зачастую исходный код. Это помогает детально изучить систему, но едва ли имитирует реальные атаки. Заказчики Black box пентеста хотят получить полную имитацию атаки хакера, который не обладает инсайдерской информацией о системе.

Модель знаний сильно пересекается с понятием модель нарушителя . Кто нас атакует: внешний хакер, инсайдер, администратор? Деление это очень условно. Компрометация рабочей станции рядового пользователя или подрядчика с технической точки зрения моментально превращает внешнего хакера во внутреннего нарушителя.

Уровень осведомленности ИБ-специалистов определяет, кто знает о проведении работ и насколько подробно. Зачастую, помимо техники, тестируется и персонал, поэтому работы координирует директор по ИБ или ИТ, а администраторы полагают, что борются с реальными хакерами, если, конечно, вообще замечают атаку. Такие киберучения позволяют оценить не только наличие уязвимостей в системах, но и зрелость процессов ИБ, уровень взаимодействия между подразделениями и т.п. Полной противоположностью является имитация действий злоумышленника с целью обучения систем защиты. В этом случае пентестер работает на небольшом участке, а администраторы фиксируют реакцию средств защиты и ИТ-систем, корректируют настройки, готовят правила для SIEM и т.п. Например, имитируется ситуация, когда хакер уже проник в закрытый сегмент. Как он будет повышать свои привилегии в системах? Пентестер поочередно отрабатывает все известные ему векторы атак для максимально полного обучения систем безопасности.

Виды атак

Сколько пентестеров, столько классификаций типов атак. Ниже я приведу классификацию базовых атак, которую используем мы. Конечно, самый полный пентест — это атака по всем возможным направлениям. Но ограничения бюджета, времени, скоупа и задач пентеста заставляют выбирать.

Внешний инфраструктурный пентест — анализ сетевого периметра из Интернета. Пентестер пытается скомпрометировать доступные сетевые сервисы и по возможности развить атаку вовнутрь сети. Многие считают, что это и есть имитация реальной атаки, направленной на проникновение в сеть компании извне. На деле злоумышленники сегодня в 80-90% случаев преодолевают сетевой периметр с использованием методов социальной инженерии. Не нужно ломиться в крепостные стены, если под ними есть замечательный подкоп. Однако часто дырки бывают и тут. Например, недавно мы проводили работы для крупного авиационного завода, в рамках которых еще на этапе автоматического анализа сканер подобрал пароль к системе удаленного управления АСУ ТП. Халатность подрядчика, забывшего отключить удаленный доступ, позволяла хакеру поднять давление в трубопроводах с техническими жидкостями на порядок. Со всеми вытекающими в прямом и переносном смысле.
Такой пентест как осмотр у дантиста: лучше проводить его регулярно, чтобы предупреждать проблемы на ранних стадиях.

Shadow IT

Часто проникновение проходит с использованием систем, которые выпадают из поля зрения ИТ. Все серверы на периметре обновлены, а про IP-телефонию или систему видеонаблюдения забыли. И хакер уже внутри. Для такой инфраструктуры, выпавшей из поля зрения администраторов, есть специальный термин — Shadow IT. По оценке Gartner, к 2020 году до трети всех взломов будут проходить с использованием Shadow IT. На наш взгляд, это вполне реалистичная оценка.

Например, однажды наш пентестер нашел на идеально защищенном периметре банка необновленные системы колл-центра, через которые за 2 дня удалось полностью скомпрометировать все основные банковские АС. Оказалось, что за них отвечал не департамент ИТ, а телефонисты. В другом случае точкой входа для пентеста была сеть секретарей на ресепшн, полностью изолированная от корпоративной. Каково же было удивление заказчика работ, когда через пару дней пентестер отчитался о полном захвате сети. Ему удалось взломать необновленный принтер, залить на него шелл и получить доступ в VLAN управления принтерами. Скомпрометировав их все, пентестер получил доступ во все офисные сегменты компании.

Внутренний инфраструктурный пентест имитирует действия инсайдера или зараженного узла внутри сети. Сеть должна строиться так, чтобы компрометация отдельных рабочих станций или серверов не приводила к полному падению обороны. На деле более чем в половине случаев из нашей практики от прав «доступ к сетевой розетке» до «администратор домена» проходит не более одного рабочего дня.

Сеть компании может быть очень большой, поэтому в ряде случаев заказчику следует четко определить для пентестера цели атак. Например, доступ к SAP и финансовым документам с грифом «Конфиденциально». Это позволит рациональнее потратить время пентестера и имитировать реальную заказную хакерскую атаку.

Web-ресурсы представляют отдельный мир с точки зрения пентеста с огромным набором различных технологий и специфическими атаками. Ясно, что под вебом можно понимать что угодно, имеющее доступ в сеть. Здесь мы подразумеваем различные web-сайты, порталы и специфические API-интерфейсы, доступные из сети. Практика показывает, что в среднем для компании анализ всего ее сетевого периметра занимает меньше времени, чем одного web-сайта, особенно если там есть какие-то интерактивные элементы, личный кабинет и т.п. Это направление переживает настоящий бум, в первую очередь из-за развития электронного бизнеса банками и массового выхода ритейла в Интернет.

Основными результатами атаки на web-ресурс обычно является компрометация данных из СУБД и возможность атаки на клиентов (например, различные виды XSS находятся на сайтах каждого второго банка). Чуть реже компрометация web-сервера позволяет проникнуть в саму сеть компании, но зачастую, если искомые данные уже скомпрометированы, это может и не потребоваться злоумышленнику.

При анализе web важно проверить не только техническую часть, но и саму логику работы и реализации бизнес-функций. До сих пор иногда можно получить скидку в 99% в интернет-магазине или воспользоваться чужими бонусными баллами, слегка модифицировав строчку запроса к серверу в адресной строке.

Атаки на web могут быть осуществлены и внутри сети, ведь о безопасности внутренних ресурсов обычно не задумываются, но на деле большинство хакеров сначала атакует инфраструктуру, так как это самый короткий путь к администратору домена. За web берутся, когда ничто другое не помогло или когда нужно пробраться в изолированные сетевые сегменты.

Рост интереса к тестированию на устойчивости к DDoS особенно заметен в последние пару лет. Информация о крупных атаках постоянно появляется в прессе, но ими дело не ограничивается. В сегменте розничного интернет-ритейла, например, в пики продаж (перед праздниками) атаки идут практически непрерывно. Что делать с примитивными атаками, направленными на исчерпание канала связи или ресурсов серверов путем отправки огромных объемов трафика, в целом ясно. Интереснее изучить устойчивость ресурса к атакам уровня приложения. Даже один клиент, генерирующий сравнительно небольшое число специфических запросов к web- сайту, может вывести его из строя. Например, специфические запросы в поле поиска по сайту могут полностью положить back-end.

Социальная инженерия, т.е. использование для взлома человеческой невнимательности, беспечности или необученности, сегодня стала самым популярным способом проникновения в сеть компании.

Более того, бытует мнение, что от этого лома нет приема. Этот термин объединяет огромное число техник, включающих рассылку обманных сообщений по почте, телефонное и личное общение для получения доступа на объект или к системам, разбрасывание у офиса компании-жертвы флешек с вредоносным вложением и многое другое.

Атаки на Wi-Fi ошибочно относят к внутреннему пентесту. Если ваш смартфон не ловит корпоративный Wi-Fi за пределами проходной, это не дает гарантий того, что злоумышленники не смогут до него дотянуться. Направленная антенна с ebay стоимостью 100$ позволяла нам проводить работы с расстояния более километра от точки доступа. В рамках пентеста Wi-Fi не всегда рассматривается как точка проникновения в сеть. Чаще он используется для атаки на пользователей. Например, пентестер паркуется у проходной предприятия до начала рабочего дня и разворачивает сеть с тем же именем (SSID), что у корпоративного Wi-Fi. Устройства в сумках и карманах сотрудников пытаются присоединиться к знакомой сети и передают для аутентификации в ней… доменные логин и пароль. Затем пентестер использует эти утечки для доступа к почте пользователей, VPN-серверам и т.д.

Анализ мобильных приложений для злоумышленника упрощается тем, что их легко скачать из магазина и детально исследовать в «песочнице», восстановив исходный код. Для обычных web-ресурсов о такой роскоши приходится только мечтать. Поэтому данный вектор атаки так популярен сегодня. Мобильные клиенты сейчас очень распространены не только у банков и ритейла. Их выпускают все подряд, а о безопасности думают в самую последнюю очередь.

Условно исследование мобильного приложения можно разделить на 3 компоненты: анализ восстановленного исходного кода на наличие дыр в безопасности, исследование приложения в «песочнице» и анализ методов взаимодействия приложения с сервером (содержание пакетов, API, уязвимости самого сервера). У нас недавно был кейс, когда API серверной части мобильного банковского приложения работало так, что можно было сформировать пакет, вызывающий перевод произвольной суммы денег с любого счета в банке на любой другой счет. И это было не исследование перед стартом приложения — оно уже давно было в продуктиве. Многие мошеннические схемы сегодня также реализуются при помощи мобильных приложений, так как про борьбу со фродом забывают еще чаще, чем про ИБ.

Анализ исходного кода не вполне корректно считать пентестом, особенно если заказчик передает исходные коды на исследование в открытом виде. Это скорее аудит безопасности приложения по модели «белого ящика». Однако эти работы зачастую проводятся совместно с пентестом для обеспечения более высокого уровня обнаружения уязвимостей, поэтому о них стоит упомянуть здесь. Пентест позволяет подтвердить или опровергнуть недостатки, найденные в рамках анализа кода (ведь в конкретной инфраструктуре далеко не все проблемы безопасности реально могут быть проэксплуатированы). Это существенно снижает число ложноположительных находок, которыми грешит анализ кода, особенно автоматизированный. В то же время в результате анализа кода зачастую находятся дыры, о которых пентестер не догадался.

По нашему опыту, чаще всего заказывают анализ кода мобильных приложений и web-сервисов, как наиболее подверженных атакам.

Такой пентест как осмотр у дантиста: лучше проводить его регулярно, чтобы предупреждать проблемы на ранних стадиях

Ограничения пентеста

Основными ограничениями, которые отличают пентест от реальной атаки, усложняя работу «белым шляпам», являются уголовный кодекс и этика. Например, пентестер чаще всего не может атаковать системы партнеров заказчика, домашние компьютеры сотрудников, инфраструктуру операторов связи, он не использует в социальной инженерии запугивание, угрозы, шантаж, подкуп и другие очень эффективные приемы преступников. Тем более убедительны результаты успешного проникновения в рамках «чистого» пентеста. Если ваш пентестер преступает закон в рамках работ, десять раз подумайте, стоит ли подпускать такого человека к вашим ключевым системам.

В заключение

Пентест, как и медосмотр, большинство стандартов рекомендует проходить не реже раза в год. При этом неплохо периодически менять специалистов, которые проводят работы, чтобы избежать замыливания взгляда и оценить защищенность с разных ракурсов. Ведь у любого специалиста или команды в той или иной степени формируется некоторая специализация.

Пентест — это и время, и расходы, и стресс для безопасников, но сложно найти более наглядный и приближенный к реальности способ оценки защищенности ИТ-инфраструктуры. В любом случае лучше, чтобы дыру нашел нанятый по договору специалист, чем хакер. Ведь первое часто заканчивается для службы ИБ выделением дополнительных средств на безопасность, а второе — поиском новой работы.

06.12.2012

При проведении есть несколько видов сбора и оценки информации. Наиболее популярным во всём мире является тестирование на проникновение (пентест) . Он может проводиться в составе аудита информационной безопасности ресурса или же, как самостоятельная работа.

Тестирование на проникновение (он же пентест , penetration testing , pentest , или тест на преодоление защиты) – метод определения защищённости ресурса путём санкционированного моделирования хакерской атаки.

Тестирование на проникновение состоит из следующих этапов:

1. 1) Планирование теста
2. 2) Идентификация уязвимостей
3. 3) Попытка эксплуатации уязвимостей
4. 4)Создание и предоставление отчёта
5. 5) Устранение уязвимостей

Иногда, после устранения уязвимостей, появляется необходимость в повторном проведении пентеста . В этом случае всё опять начинается с пункта 1 и заканчивается пунктом 5.

Теперь поподробнее о каждом этапе проведения тестирования.

Планирование пентеста

На данном этапе в ходе ряда встреч с заказчиком улаживаются как юридические моменты, так и согласовываются цели и содержание теста на проникновение .

К юридическим моментам относятся подписание официального договора, в котором определяется область деятельности и ответственности исполнителя и заказчика и оформление исполнителем подписки о неразглашении данных полученных в ходе выполнения работ.

При согласовании целей и содержания задаётся регламент, устанавливающий порядок и рамки проведения работ; выбираются объекты исследования; задаётся модель поведения нарушителя и оговариваются режимы работы на основе первоначальных знаний исполнителя о ресурсе («Белый ящик», «Чёрный ящик») и информированности персонала заказчика о проводимых испытаниях («Белая шляпа», «Чёрная шляпа»).

Тестирование Белого ящика

В этом режиме работ исполнителю предоставляется полная информация о структуре ресурса и применяемых средствах защиты.

Тестирование Чёрного ящика

В данном режиме работы исполнителю предоставляется минимум информации. Иногда информация не предоставляется вовсе. Однако, учитывая то, что большинство злоумышленников длительно готовятся к проведению атаки на ресурс, предполагать у них полное отсутствие информации нецелесообразно.

Тестирование Белой шляпы

В этом режиме работ какие-либо действия по сокрытию работы исполнителя не проводятся. Он работает в тесном контакте со службой информационной безопасности , а основной задачей является обнаружение возможных уязвимостей ресурса и оценка возможности проникновения в систему .

Тестирование Чёрной шляпы

В этом режиме работ о проведении penetration testing проинформировано только руководство заказчика и руководители службы информационной безопасности. Задача исполнителя в этом режиме наиболее приближённое к реальности моделирование хакерской атаки. При этом оценивается не только уровень защищённости системы, но и уровень готовности сотрудников службы информационной безопасности.

Идентификация уязвимостей

Этот этап разделяется на:

Сбор информации о ресурсе и пользователях (сотрудниках). При этом используются общедоступные информационные ресурсы (социальные сети, электронная почта, новости);

Первичное тестирование найденных узлов («пробинг»). Изучается реакция ресурса на внешнее воздействие, составляется карта ресурса;

Детальный анализ. При помощи специально разработанных программ и ручным способом идентифицируются следующие уязвимости ресурса: внедрение оператора SQL, межсайтовое исполнение сценариев, подмена содержимого, выполнение команд ОС, уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации.

Попытка эксплуатации уязвимостей

Данный этап функционально может делиться на технический тест на проникновение и социотехнический тест на проникновение. В первом случае это комплекс мер по имитации действий внешних нарушителей. Во втором случае – это атака на сотрудников при помощи методов «социальной инженерии» через социальные сети, электронную почту и проч. с целью получения контроля над их рабочими станциями. Однако как показывает практика, чаще всего используется комплексный pentest с элементами как технического, так и социотехнического теста.