• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Блог

    Тестирование на проникновение или пентест

    При проведении аудита безопасности сайта есть несколько видов сбора и оценки информации. Наиболее популярным во всём мире является тестирование на проникновение (пентест). Он может проводиться в составе аудита информационной безопасности ресурса или же, как самостоятельная работа.

    Тестирование на проникновение (он же пентест, penetration testing, pentest, или тест на преодоление защиты) – метод определения защищённости ресурса путём санкционированного моделирования хакерской атаки.

    Тестирование на проникновение состоит из следующих этапов:

    1. 1) Планирование теста
    2. 2) Идентификация уязвимостей
    3. 3) Попытка эксплуатации уязвимостей
    4. 4)Создание и предоставление отчёта
    5. 5) Устранение уязвимостей

    Иногда, после устранения уязвимостей, появляется необходимость в повторном проведении пентеста. В этом случае всё опять начинается с пункта 1 и заканчивается пунктом 5.

    Теперь поподробнее о каждом этапе проведения тестирования.

    пентест картинка

    Планирование пентеста

    На данном этапе в ходе ряда встреч с заказчиком улаживаются как юридические моменты, так и согласовываются цели и содержание теста на проникновение.

    К юридическим моментам относятся подписание официального договора, в котором определяется область деятельности и ответственности исполнителя и заказчика и оформление исполнителем подписки о неразглашении данных полученных в ходе выполнения работ.

    При согласовании целей и содержания теста задаётся регламент, устанавливающий порядок и рамки проведения работ; выбираются объекты исследования; задаётся модель поведения нарушителя и оговариваются режимы работы на основе первоначальных знаний исполнителя о ресурсе («Белый ящик», «Чёрный ящик»)  и информированности персонала заказчика о проводимых испытаниях («Белая шляпа», «Чёрная шляпа»).

    Тестирование Белого ящика

    В этом режиме работ исполнителю предоставляется полная информация о структуре ресурса и применяемых средствах защиты.

    Тестирование Чёрного ящика

    В данном режиме работы исполнителю предоставляется минимум информации. Иногда информация не предоставляется вовсе. Однако, учитывая то, что большинство злоумышленников длительно готовятся к проведению атаки на ресурс, предполагать у них полное отсутствие информации нецелесообразно.

    Тестирование Белой шляпы

    В этом режиме работ какие-либо действия по сокрытию работы исполнителя не проводятся. Он работает в тесном контакте со службой информационной безопасности, а основной задачей является обнаружение возможных уязвимостей ресурса и оценка возможности проникновения в систему.

    Тестирование Чёрной шляпы

    В этом режиме работ о проведении penetration testing проинформировано только руководство заказчика и руководители службы информационной безопасности. Задача исполнителя в этом режиме наиболее приближённое к реальности моделирование хакерской атаки. При этом оценивается не только уровень защищённости системы, но и уровень готовности сотрудников службы информационной безопасности.

    тестирование на проникновение картинка

    Идентификация уязвимостей

    Этот этап разделяется на:

    - сбор информации о ресурсе и пользователях (сотрудниках). При этом используются общедоступные информационные ресурсы (социальные сети, электронная почта, новости);

    - первичное тестирование найденных узлов («пробинг»). Изучается реакция ресурса на внешнее воздействие, составляется карта ресурса;

    - детальный анализ. При помощи специально разработанных программ и ручным способом идентифицируются следующие уязвимости ресурса: внедрение оператора SQL, межсайтовое исполнение сценариев, подмена содержимого, выполнение команд ОС, уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации.

    Попытка эксплуатации уязвимостей

    Данный этап функционально может делиться на технический тест на проникновение и социотехнический тест на проникновение. В первом случае это комплекс мер по имитации действий внешних нарушителей. Во втором случае – это атака на сотрудников при помощи методов «социальной инженерии» через социальные сети, электронную почту и проч. с целью получения контроля над их рабочими станциями. Однако как показывает практика, чаще всего используется комплексный pentest с элементами как технического, так и социотехнического теста.

    Создание и предоставление отчета о пентесте

    По окончании тестирования на проникновение заказчик получает отчёт в котором указываются детальное описание работ, выявленные уязвимости ресурса, способы их реализации и рекомендации по устранению, а также оценка потенциального ущерба.