Тестирование на проникновение или пентест

При проведении аудита безопасности сайта есть несколько видов сбора и оценки информации. Наиболее популярным во всём мире является тестирование на проникновение (пентест). Он может проводиться в составе аудита информационной безопасности ресурса или же, как самостоятельная работа.
Тестирование на проникновение (он же пентест, penetration testing, pentest, или тест на преодоление защиты) – метод определения защищённости ресурса путём санкционированного моделирования хакерской атаки.
Тестирование на проникновение состоит из следующих этапов:
- 1) Планирование теста
- 2) Идентификация уязвимостей
- 3) Попытка эксплуатации уязвимостей
- 4)Создание и предоставление отчёта
- 5) Устранение уязвимостей
Иногда, после устранения уязвимостей, появляется необходимость в повторном проведении пентеста. В этом случае всё опять начинается с пункта 1 и заканчивается пунктом 5.
Теперь поподробнее о каждом этапе проведения тестирования.
Планирование пентеста
На данном этапе в ходе ряда встреч с заказчиком улаживаются как юридические моменты, так и согласовываются цели и содержание теста на проникновение.
К юридическим моментам относятся подписание официального договора, в котором определяется область деятельности и ответственности исполнителя и заказчика и оформление исполнителем подписки о неразглашении данных полученных в ходе выполнения работ.
При согласовании целей и содержания теста задаётся регламент, устанавливающий порядок и рамки проведения работ; выбираются объекты исследования; задаётся модель поведения нарушителя и оговариваются режимы работы на основе первоначальных знаний исполнителя о ресурсе («Белый ящик», «Чёрный ящик») и информированности персонала заказчика о проводимых испытаниях («Белая шляпа», «Чёрная шляпа»).
Тестирование Белого ящика
В этом режиме работ исполнителю предоставляется полная информация о структуре ресурса и применяемых средствах защиты.
Тестирование Чёрного ящика
В данном режиме работы исполнителю предоставляется минимум информации. Иногда информация не предоставляется вовсе. Однако, учитывая то, что большинство злоумышленников длительно готовятся к проведению атаки на ресурс, предполагать у них полное отсутствие информации нецелесообразно.
Тестирование Белой шляпы
В этом режиме работ какие-либо действия по сокрытию работы исполнителя не проводятся. Он работает в тесном контакте со службой информационной безопасности, а основной задачей является обнаружение возможных уязвимостей ресурса и оценка возможности проникновения в систему.
Тестирование Чёрной шляпы
В этом режиме работ о проведении penetration testing проинформировано только руководство заказчика и руководители службы информационной безопасности. Задача исполнителя в этом режиме наиболее приближённое к реальности моделирование хакерской атаки. При этом оценивается не только уровень защищённости системы, но и уровень готовности сотрудников службы информационной безопасности.
Идентификация уязвимостей
Этот этап разделяется на:
— сбор информации о ресурсе и пользователях (сотрудниках). При этом используются общедоступные информационные ресурсы (социальные сети, электронная почта, новости);
— первичное тестирование найденных узлов («пробинг»). Изучается реакция ресурса на внешнее воздействие, составляется карта ресурса;
— детальный анализ. При помощи специально разработанных программ и ручным способом идентифицируются следующие уязвимости ресурса: внедрение оператора SQL, межсайтовое исполнение сценариев, подмена содержимого, выполнение команд ОС, уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации.
Попытка эксплуатации уязвимостей
Данный этап функционально может делиться на технический тест на проникновение и социотехнический тест на проникновение. В первом случае это комплекс мер по имитации действий внешних нарушителей. Во втором случае – это атака на сотрудников при помощи методов «социальной инженерии» через социальные сети, электронную почту и проч. с целью получения контроля над их рабочими станциями. Однако как показывает практика, чаще всего используется комплексный pentest с элементами как технического, так и социотехнического теста.
Создание и предоставление отчета о пентесте
По окончании тестирования на проникновение заказчик получает отчёт в котором указываются детальное описание работ, выявленные уязвимости ресурса, способы их реализации и рекомендации по устранению, а также оценка потенциального ущерба.
Теги:
Добавить комментарий