Новость из категории: Информация

Тестирование на проникновение

Тестирование на проникновение

Тест на проникновение или Пентест (от англ. Penetration Testing) – это тип компьютерных тестирований безопасности, направленных на поиск и выявление потенциальных угроз, недостатков, неисправностей (багов, ошибок) и уязвимостей в защите электронно-вычислительных, информационных систем.

В основе тестирования на проникновение лежит принцип имитации кибератак. Задача пентестера – попытаться обойти существующую защиту системы, проверить ее на целостность, устойчивость, гибкость, уязвимость, моделируя настоящую угрозу, применяя техники Белого "Этического" Хакинга (Ethical Hacking).

Тестирование на проникновение

Тестирование на проникновение делится на 3 типа:
1. BlackBox Pentest – это тест на проникновение черного ящика. Выполняется без каких-либо сведений об изучаемом объекте. Это самый сложный вариант для пентестеров. Тестеры не знают системы и пытаются сломать ее, проявляя уязвимости в технических узлах и компонентах, собирая нужные сведения.

2. WhiteBox Pentest – это тест на проникновение белого ящика. Выполняется в полном сотрудничестве с владельцем изучаемого объекта. При этом одна сторона пытается проникнуть, а другая – защитить. Тестер располагает всеми необходимыми доступами и сведениями о системе. Этот вид пентеста очень похож на классический аудит кибербезопасности.

3. GreyBox Pentest – это тест на проникновение серого ящика. Тестер имеет определенные накопленные сведения об изучаемом объекте. Ему также может быть предоставлен авторизованный доступ в систему с ограниченными правами. Пентестер будет пытаться осуществить эскалацию привилегий, проявляя уязвимости.

Тестирование на проникновение позволяет:
• выявить уязвимости и информационные истоки на ранних стадиях, которые могут привести к серьезным атакам, взлому, компрометации системы и уничтожению данных;
• оценить актуальный уровень защищенности ИТ-системы, продемонстрировать последствия атаки и спрогнозировать возможные экономические, репутационные потери и убытки;
• провести комплексную оптимизацию киберзащиты в соответствии с мировыми требованиями и стандартами: COBIT, ITIL, ISO, NIST, MITRE, SANS, PCI-DSS, X.800 и другими;
• устранить все возможные риски по кибербезопасности на всех уровнях и сделать ИТ-инфраструктуру более надежной, эффективной, устойчивой, конкурентоспособной и обороноспособной;
• опередить потенциальных злоумышленников в обнаружении и эксплуатации недостатков безопасности.
• спроектировать безотказную архитектуру кибербезопасности и наладить в ней все процессы, подобрать комплексные решения по киберзащите: WAF, IPS/IDS, NGFW и т.п.;

Фактически, каждый бизнес, каждая информационная и техническая система сегодня потенциально уязвима и требует тестирования. Ежедневно возникают десятки, а то и сотни новых кибер-угроз, в том числе уязвимости нулевого дня, неизвестные самим разработчикам ( 0-Zero Day Vulnerabilities ). Поэтому Тестирование на проникновение является своеобразным "прививкой" от будущих угроз. Рекомендуется регулярно проводить пентесты для подготовки к возможной массированной целенаправленной APT-атаки ( Advanced Persistent Threat ).

Тестирование на проникновение

Фазы пентеста

Подготовка:
Формирование перечня целей и задач
Разведка из открытых источников (OSINT)
Разведка данных из соцсетей (SOCMINT)
Сбор инсайдов (социнженерия)
Поиск и анализ утечек данных, точек входа, Google Hacking
SAST/DAST сканирование, footprinting, нумерация
Обработка и структуризация накопленных данных
Разработка стратегии, сценариев, методов и алгоритмов атаки
Подбор инструментов и технической базы, формирование проектной команды
Планирование проведения атаки

Атака:
Эксплуатация ошибок и уязвимостей
Осуществление нагрузки на сервер: фазинг, парсинг, флуд
Обход стандартных средств безопасности, комбинация техник
Эскалация привилегий
Эксплуатация доступа
Инвентаризация сети
Постэксплуатация и запуск эксплойтов, манипуляция данными и процессами
Развертывание бэкдоров, активное распространение и закрепление
Достижение поставленных целей

Отчетность:
Документация проведенного тестирования на проникновение: сбор доказательств, фактов, источников, скриншотов проникновения и компрометации системы, список найденных утечек и уязвимостей
Пошаговое описание всех цепочек атаки, использованных техник и инструментов
Оценка выявленных уязвимостей, расчет уровня их критичности, итоговый балл защищенности системы
Формирование рекомендаций и инструкций по оптимизации кибербезопасности, подбор оптимальных IT-решений
Создание финального отчета-презентации в формате PDF-документа

Тестирование на проникновение

Методологии тестирования на проникновение

OWASP (Open Web Application Security Project) – это международное открытое сообщество, направленное на улучшение безопасности программного обеспечения и электронных ресурсов. Каждый имеет право участвовать в развитии методологии OWASP, а все их материалы свободно распространяются. OWASP Testing Guide представляет собой наиболее актуальную и проработанную методологию, которая дает не только указания по тестам на проникновение, но и анализу веб-приложений в целом (например, исходного кода), поскольку эта методика фокусирует свое внимание именно на выявлении уязвимостей веб-приложений.

OSSTMM (The Open Source Security Testing Methodology Manual ) - хорошо структурированная методология, содержащая так называемую "Карту безопасности" - визуальный показатель безопасности. На карте указываются основные области безопасности, включающие наборы элементов, которые должны быть протестированы на соответствие методике.

NIST (The United States National Institute of Standards and Technology) – методология по кибербезопасности, разработанная Национальным Институтом Технологий США. Содержит рекомендации по способам оценки защищенности, внутреннего и внешнего аудита, тестирования на проникновение, организации процессов безопасности, анализа результатов, использования результатов анализа для постоянного совершенствования СУИБ организации. Документ постоянно обновляется и дорабатывается. Существует несколько версий этого документа, включая NIST 800-115 и NIST 800-181.

PTES (Penetration Testing Execution Standard) – очень качественно и глубинно проработанный стандарт проведения тестов на проникновение. Содержит целый ряд рекомендаций, описаний, требований. Фактически в PTES изложены основные азы, принципы и основы пентеста.

ISSAF (Information System Security Assessment Framework) – документ охватывает огромное количество вопросов, связанных с информационной и кибербезопасностью. Присутствуют главы, описывающие оценку безопасности межсетевых экранов, маршрутизаторов, антивирусных систем и многое другое.

Тестирование на проникновение

BSI (Study A Penetration Testing Model) – методология по кибербезопасности, разработанная немецким подразделением "Federal Office for Information Security". В документе описывается проведение тестирований на проникновение и испытание системы на прочность. Подробно описываются все необходимые требования, правовые аспекты применения методологии и процедуры, которые необходимо выполнить для успешного проведения пентестов.

PCI DSS (PCI Data Security Standard) – документ, содержащий рекомендации и требования безопасности с точки зрения финансово-технических операций. Документ хорошо структурирован и имеет широкую теоретическую базу.

Рейтинг статьи

Оценка
5/5
голосов: 1
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх