Тестирование на проникновение или пентест

Тестирование на проникновение или пентест

При проведении аудита безопасности сайта есть несколько видов сбора и оценки информации. Наиболее популярным во всём мире является тестирование на проникновение (пентест). Он может проводиться в составе аудита информационной безопасности ресурса или же, как самостоятельная работа.

Тестирование на проникновение (он же пентест, penetration testing, pentest, или тест на преодоление защиты) – метод определения защищённости ресурса путём санкционированного моделирования хакерской атаки.

Тестирование на проникновение состоит из следующих этапов:

  1. 1) Планирование теста
  2. 2) Идентификация уязвимостей
  3. 3) Попытка эксплуатации уязвимостей
  4. 4)Создание и предоставление отчёта
  5. 5) Устранение уязвимостей

Иногда, после устранения уязвимостей, появляется необходимость в повторном проведении пентеста. В этом случае всё опять начинается с пункта 1 и заканчивается пунктом 5.

Теперь поподробнее о каждом этапе проведения тестирования.

пентест картинка

Планирование пентеста

На данном этапе в ходе ряда встреч с заказчиком улаживаются как юридические моменты, так и согласовываются цели и содержание теста на проникновение.

К юридическим моментам относятся подписание официального договора, в котором определяется область деятельности и ответственности исполнителя и заказчика и оформление исполнителем подписки о неразглашении данных полученных в ходе выполнения работ.

При согласовании целей и содержания теста задаётся регламент, устанавливающий порядок и рамки проведения работ; выбираются объекты исследования; задаётся модель поведения нарушителя и оговариваются режимы работы на основе первоначальных знаний исполнителя о ресурсе («Белый ящик», «Чёрный ящик»)  и информированности персонала заказчика о проводимых испытаниях («Белая шляпа», «Чёрная шляпа»).

Тестирование Белого ящика

В этом режиме работ исполнителю предоставляется полная информация о структуре ресурса и применяемых средствах защиты.

Тестирование Чёрного ящика

В данном режиме работы исполнителю предоставляется минимум информации. Иногда информация не предоставляется вовсе. Однако, учитывая то, что большинство злоумышленников длительно готовятся к проведению атаки на ресурс, предполагать у них полное отсутствие информации нецелесообразно.

Тестирование Белой шляпы

В этом режиме работ какие-либо действия по сокрытию работы исполнителя не проводятся. Он работает в тесном контакте со службой информационной безопасности, а основной задачей является обнаружение возможных уязвимостей ресурса и оценка возможности проникновения в систему.

Тестирование Чёрной шляпы

В этом режиме работ о проведении penetration testing проинформировано только руководство заказчика и руководители службы информационной безопасности. Задача исполнителя в этом режиме наиболее приближённое к реальности моделирование хакерской атаки. При этом оценивается не только уровень защищённости системы, но и уровень готовности сотрудников службы информационной безопасности.

тестирование на проникновение картинка

Идентификация уязвимостей

Этот этап разделяется на:

— сбор информации о ресурсе и пользователях (сотрудниках). При этом используются общедоступные информационные ресурсы (социальные сети, электронная почта, новости);

— первичное тестирование найденных узлов («пробинг»). Изучается реакция ресурса на внешнее воздействие, составляется карта ресурса;

— детальный анализ. При помощи специально разработанных программ и ручным способом идентифицируются следующие уязвимости ресурса: внедрение оператора SQL, межсайтовое исполнение сценариев, подмена содержимого, выполнение команд ОС, уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации.

Попытка эксплуатации уязвимостей

Данный этап функционально может делиться на технический тест на проникновение и социотехнический тест на проникновение. В первом случае это комплекс мер по имитации действий внешних нарушителей. Во втором случае – это атака на сотрудников при помощи методов «социальной инженерии» через социальные сети, электронную почту и проч. с целью получения контроля над их рабочими станциями. Однако как показывает практика, чаще всего используется комплексный pentest с элементами как технического, так и социотехнического теста.

Создание и предоставление отчета о пентесте

По окончании тестирования на проникновение заказчик получает отчёт в котором указываются детальное описание работ, выявленные уязвимости ресурса, способы их реализации и рекомендации по устранению, а также оценка потенциального ущерба.

Теги: